Comme les autres membres de la famille Conficker, il limite l'accès aux sites web des antivirus et supprime des outils antimalwares
Si Yahoo!® Messenger et MSN Messenger ont été attaqués massivement par des vers de messagerie instantanée, les utilisateurs de Skype ont été jusquà présent relativement épargnés par ce type de-menace. Il est vrai que les vers envoyant des liens hypertextes sont fréquents et de multiples variantes affectent différents services de messagerie instantanée, mais la plupart dentre eux sont extrêmement faciles à supprimer et ne bénéficient pas dune protection supplémentaire. Contrairement aux vers de messagerie standard, Backdoor.Tofsee dispose de nombreux moyens pour éviter dêtre détecté et supprimé, et pour porter préjudice à la fois aux utilisateurs et à leur ordinateur.
Le ver a recours à une technique dingénierie sociale pour tromper les utilisateurs et leur faire télécharger et exécuter une copie de lui-même sur leur machine. Il recherche les paramètres régionaux du système (pays, langue et devise) afin de déterminer dans quelle langue envoyer ses messages à des contacts de messagerie. Il peut utiliser langlais, lespagnol, litalien, le néerlandais, lallemand et le français pour se diffuser via Skype ou Yahoo!® Messenger. Ces fausses conversations sont toujours différentes des messages envoyés auparavant et sont constamment mises à jour à distance.
Afin déviter déveiller les soupçons, le ver transmet uniquement son message au cours dune conversation, au lieu denvoyer son lien directement, de manière aléatoire. Si lutilisateur clique sur le lien infecté, il est redirigé vers une page « spoofée » imitant Rapidshare. Sil clique ensuite sur le faux lien de téléchargement Rapidshare, il obtient une archive compressée nommée NewPhoto024.JPG.zip. Une fois extraite, larchive révèle un fichier exécutable au nom trompeur : NewPhoto024.JPG_www.tinyfilehost.com, qui a lapparence dun fichier JPG suivi dune URL.
Bien quil se termine par .com, ce fichier est une application exécutable MS-DOS. Une fois exécuté, le binaire infecté vérifie auprès du Registre Windows si Skype ou Yahoo Messenger sont installés. Si aucune de ces applications nest détectée sur lordinateur, le ver ninfecte pas le système. Si ces applications sont présentes, il sassure quil nest pas analysé par une machine virtuelle auprès du Compteur de performance.
Si le ver détecte quil est exécuté dans une machine virtuelle ou dans un débogueur, il se termine lui-même, ou crée un processus enfant suspendu et y injecte par la suite le segment décrypté du ver. Une fois linjection terminée, le processus enfant est repris et le processus parent se détruit.
Afin de ne pas être repéré par le système dexploitation, le ver déploie sa dernière ligne de défense : un pilote rootkit qui cache des fichiers, surveille lactivité Internet de la machine infectée et bloque laccès aux URL associées à des éditeurs antivirus, scanners en ligne, forums dassistance technique et bien sûr, Windows Update. Le ver empêche également laccès à un certain nombre de portails de téléchargement connus qui pourraient héberger des outils de suppression de logiciels malveillants ou des utilitaires antivirus.
Après avoir compromis le système, le ver sajoute à la clé de démarrage du Registre Windows ; il désactive également le Pare-Feu Windows afin douvrir une brèche dans la sécurité locale et de permettre à un attaquant de se connecter à distance au composant backdoor du ver. Et ce nest pas tout : le composant rootkit empêche également linstallation de tout fichier connu pour être un logiciel antivirus. Backdoor.Tofsee identifie ces fichiers par leur nom, renommer un fichier bloqué devrait donc normalement résoudre le problème.
Le mécanisme de diffusion du ver ne se limite pas à lenvoi de messages de spam via Skype et YIM, il effectue également des copies de lui-même sur tous les supports de stockage USB quil détecte en répliquant son binaire dans un dossier venant dêtre créé et nommé ~secure. Un fichier autorun.inf pointe vers lui. Un deuxième dossier, nommé Temp002, est également généré et un fichier binaire infecté par Trojan.Vaklik.AY est placé à lintérieur. Tous les fichiers créés ont leurs attributs archives, cachés et systèmes réglés sur 1 afin de ne pas être repérés par le shell de lExplorateur Windows.
Backdoor.Tofsee est un malware dangereux qui permet à un attaquant distant de prendre le contrôle total dun ordinateur infecté et de lutiliser à des fins illicites. Afin de profiter d'Internet en toute sécurité, nous vous recommandons d'installer et de mettre à jour régulièrement une suite antimalware complète avec une protection antivirus, antispam, antiphishing et pare-feu.
Pour plus dinformations concernant les produits BitDefender, vous pouvez consulter www.BitDefender.fr et pour retrouver BitDefender en ligne et rester au fait de lactualité des e-menaces :
Flux RSS
Facebook
Twitter
La communauté Malwarecity