Le 10 juin 2016

Parmi les programmes malveillants modernes, il existe une catégorie spéciale de Trojans nommés par les experts en sécurité informatique les Trojans " sans corps ". En fait, ils n'existent pas sur l'ordinateur contaminé sous forme de fichier mais ils fonctionnent directement dans la mémoire vive, en utilisant pour leur stockage le registre Windows par exemple. Dans cet article, Doctor Web analyse un de ces Trojans sans corps nommé Trojan.Kovter.297.

Le Trojan.Kovter se propage à l'aide d'un autre Trojan — Trojan.MulDrop6.42771, qui a été conçu spécialement pour installer sur les ordinateurs attaqués des programmes malveillants. Ce couple est détecté par Dr.Web Antivirus comme Trojan.Kovter.297. Malgré sa simplicité apparente, le Trojan.MulDrop6.42771 a une architecture assez compliquée. Le code du Trojan contient beaucoup de chaînes aléatoires et des appels de fonctions, ce que lui permet d'empêcher son analyse, sa bibliothèque malveillante principale est dissimulée dans les ressources du Trojan.MulDrop6.42771 sous la forme d’une image. Ce Trojan est capable de déterminer si des machines virtuelles ou d’autres outils de débogage sont en cours d’exécution sur l'ordinateur, compte tenu du fait que ces outils sont souvent utilisés par les analystes dans les examens des échantillons de malware. S'il détecte de tels programmes, le Trojan termine son fonctionnement. En outre, il peut afficher sur l'écran des messages et désactiver le contrôle de comptes utilisateur Windows (User Accounts contrôle, UAC).

Trojan.MulDrop6.42771 peut réaliser son propre autorun dans le système de sept façons différentes, et pour le lancement de charges utiles, les auteurs de virus ont conçu six différentes méthodes : Trojan.MulDrop6.42771 utilise celle qui est spécifiée dans sa configuration. De plus, ce logiciel malveillant peut se copier dans les dossiers racines de tous les disques connectés à l’ordinateur infecté, en y créant des fichiers autorun.inf, c'est-à-dire, se propager comme un ver.

Comme il a déjà été mentionné précédemment, certains échantillons du Trojan.MulDrop6.42771 contiennent le Trojan sans corps de la famille TrojanKovter. Normalement, il est lancé par un Trojan dit support, mais il est doté aussi d'un mécanisme d'autorun. Ce programme malveillant crée plusieurs entrées dans le registre : l’une contient le corps du Trojan sous format chiffré, l'autre comprend un script pour son décryptage et son chargement dans la mémoire de l'ordinateur. Les noms de ces enregistrements incluent des caractères ne pouvant pas être lus, du coup le programme standard regedit ne peut pas les afficher.

En fait, le Trojan.Kovter fonctionne dans la mémoire de l'ordinateur contaminé sans enregistrer sa propre copie sur le disque sous forme de fichier, ce qui, dans une certaine mesure, empêche sa détection et suppression. En termes de fonctions malveillantes le Trojan.Kovter peut être classé comme un Trojan publicitaire — à l'insu de l'utilisateur, il lance en tâche de fond plusieurs exemplaires du navigateur Microsoft Internet Explorer, et avec leur aide, il visite les sites spécifiés par les pirates en cliquant sur les liens et bannières publicitaires afin d'augmenter le nombre d'affichage des publicités. Les criminels se rémunèrent sur le nombre de clics ou de visites.

Malgré le fait que le Trojan.Kovter tente de masquer son fonctionnement sur la machine contaminée, l'analyse de l'ordinateur avec Dr.Web Antivirus permet de se protéger d'une telle contamination. Il est recommandé aux utilisateurs de ne pas oublier les mises à jour régulières des bases virales et de scanner leurs ordinateurs en cas de suspicion de présence d'un malware.

En savoir plus sur Trojan.MulDrop6.42771
En savoir plus sur Trojan.Kovter.297