Revue hebdomadaire BitDefender - Ils s 'infiltrent

Les cybercriminels sont en guerre contre eux et voici quelques-unes des méthodes qu 'ils utilisent :

Trojan.KillAV.PT
Ce cheval de Troie est une merveille du genre. Il n 'a pas été facile à analyser et bien qu 'il ne soit pas tellement complexe, il permet de voir à quel point l 'esprit d 'un hacker peut s 'avérer tortueux quand il s 'agit d 'atteindre son but.

Ce cheval de Troie commence par déposer 3 composants que nous allons examiner de plus près ci-dessous.

1.    L'antivirus killer (killdll.dll) :

– Ce composant, enregistré dans %windir%\system32 et contenant deux pilotes cryptés, est chargé en premier. Il est supprimé après 15 secondes.1.1. Le premier de ces pilotes est utilisé pour désactiver les services suivants appartenant à des éditeurs de produits de sécurité :

avp.exe DrUpdate.exe QQDoctorRtp.exe
KWatch.exe
Uplive.exe
udaterui.exe
McTray.exe
SHSTAT.exe
ccSvcHst.exe
xcommsvr.exe
vsserv.exe
livesrv.exe
bdagent.exe
mcinsupd.exe
mcshell.exe
FrameworkService.exe
vstskmgr.exe
mcagent.exe
mcnasvc.exe
mcmscsvc.exe
mcsysmon.exe
mfevtps.exe
mcupdmgr.exe
vptray.exe
ccapp.exe
rtvscan.exe
defwatch.exe
ccEvtMgr.exe
ccSetMgr.exe
KVSrvXP.exe
KPFW32.exe
engineserver.exe
KavStart.exe
kmailmon.exe
KPfwSvc.exe
KISSvc.exe
MPSVC3.exe
MPSVC.exe
MpfSrv.exe
naPrdMgr.exe
rsnetsvr.exe
mcshield.exe
McProxy.exe
QQDoctor.exe
Rav.exe
ScanFrm.exe
RsTray.exe
RavStub.exe
CCenter.exe
RavTask.exe
RavMonD.exe
RavMon.exe
egui.exe
mfeann.exe
RsAgent.exe
ekrn.exe
antiarp.exe
360tray.exe
360Safebox.exe
safeboxTray.exe

Pour y parvenir, le pilote est enregistré sous %windir%\system32\drivers\AsyncMac.sys en remplacement du pilote original de même nom qui est en fait un pilote série d 'accès réseau à distance de Microsoft.

Il désactive ensuite la fonction de lancement de ces services au démarrage du système, afin d 'empêcher leur chargement après le redémarrage. Une fois terminé, le fichier du pilote est déchargé et supprimé.

1.2. Le deuxième pilote est enregistré sous %windir%\system32\drivers\aec.sys en remplacement du pilote original, un pilote Microsoft d 'annulation d 'écho acoustique. Ce composant désactive les techniques de détection proactives habituellement utilisées en annulant les modifications apportées par le logiciel antivirus à la mémoire du noyau. Une fois terminé, il est déchargé et supprimé.

2.    Le téléchargeur ([valeur_aléatoire]_xeex.exe) :
– Ce composant est enregistré dans %windir% une fois que killdll.dll a terminé son travail. Après avoir été exécuté, il vérifie d 'abord l 'élément d 'où il a été lancé. S 'il est injecté dans userinit.exe, il exécute d 'abord explorer.exe (comportement par défaut d 'userini.exe) afin que l 'utilisateur ne remarque pas l 'infection. Il continue ensuite avec sa propre routine. Si ce n 'est pas userinit.exe, il continue avec sa propre routine sans lancer explorer.exe :
   
    Il transfère alors l 'adresse MAC, la version du système d 'exploitation et la version de fichier (fournie probablement par la date de création) au script : http://[removed]518js.com/30330/count.asp
   
    Il télécharge et exécute environ 30 fichiers spécifiés par un fichier texte stocké en ligne à l 'adresse : http://[removed]518js. com/30330/newfz. txt. Si la version du téléchargeur fournie ci-dessus est périmée, la liste contiendra également une nouvelle version du cheval de Troie pour permettre son actualisation ; le reste des fichiers appartient à la famille des programmes voleurs de mots de passe de jeux en ligne.

    Il enregistre l 'image exécutable du parent pour démarrer au démarrage du système en utilisant la clé de registre Windows HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avec le nom de clé suivant : RsTray.
 
3.    L 'écraseur (pcidump.sys) :
– Ce composant est enregistré dans %windir%\system32\drivers, chargé en mémoire, puis supprimé après avoir terminé sa t?che.
Le pilote a pour mission de remplacer unserinit.exe, un composant de base de Windows, par la partie téléchargeuse, afin que cette dernière soit exécutée à chaque démarrage du système. Dans des circonstances normales, unserinit.exe quitte après avoir initialisé tous les processus nécessaires. Toutefois, s 'il a été infecté avec le téléchargeur, il reste en mémoire, ce qui donne à la victime un indice de la présence du malware.

L 'exécutable principal place également une copie de lui-même dans %windir%\system32\scvhost.exe, puis supprime le fichier original à partir duquel il a été exécuté.

Win32.Worm.VB.NXY
Une fois exécuté, ce ver se copie dans %windir%\userinit.exe et modifie le registre pour assurer l 'exécution des copies au démarrage du système.
Une deuxième copie est ensuite créée dans %windir%\system32\system.exe.
Lorsqu 'ils sont actifs, les deux exécutables se protègent mutuellement contre toute tentative d 'interruption.

Après cela, le ver tente de s 'actualiser à partir des sites suivants : t35.com, titanichost.com, 110mb.com. Le fichier téléchargé est enregistré sous %windir%\system32\task.exe et, une fois lancé, remplace les deux copies du ver.

Pour se protéger, il interdit l 'accès aux sites web de sécurité ci-après en modifiant le fichier %windir%\system32\drivers\etc\hosts :  

download.f-secure.com
mirror02.gdata.de
download.avg.com
spftrl.digitalriver.com
www.grisoft.cz
download1us.softpedia.com
download.softpedia.com
www.bitdefender.co.uk
www.bitdefender.com
virusscan.jotti.org
bkav.com.vn
www.bkav.com.vn
download.com.vn
www.download.com.vn
9down.com
www.9down.com
download.eset.com
www.download.com 

Un troisième fichier est créé sous %windir%\kdcoms.dll. Il s 'agit en fait d 'un simple fichier texte contenant le message suivant : ” Don't worry! I will protect your computer ” (Ne vous en faites pas, je protégerai votre ordinateur !). Après sa mise à jour, le fichier contient la date actuelle. Le ver se répand dans tous les disques amovibles en créant des copies de lui-même dans le dossier racine de chaque disque sous le nom de fichier ” forever.exe “. Un fichier autorun.inf est créé pour pointer vers ce fichier.

Les informations contenues dans cet article sont fournies avec l 'aimable autorisation des chercheurs de virus BitDefender : Balazs Biro et Ovidiu Visoiu.