le 23 mars 2015

Les spécialistes de Doctor Web ont terminé l'analyse du Trojan backdoor ciblant Windows. Le malware, baptisé BackDoor.Yebot, peut exécuter plusieurs fonctions, y compris lancer son serveur FTP proxy, rechercher des données sur commande des pirates, enregistrer les frappes clavier (keylogging), faire des captures d'écran et les envoyer à un serveur distant.

BackDoor.Yebot se propage à l'aide d'un autre logiciel malveillant, ajouté à la base virale Dr.Web sous le nom Trojan.Siggen6.31836. Lancé sur la machine infectée, il injecte son code dans les processus svchost.exe, csrss.exe, lsass.exe et explorer.exe, puis ayant envoyé la requête au serveur distant, il télécharge et décrypte le Trojan BackDoor.Yebot, le configure dans la mémoire et lui cède la gestion. Le Trojan.Siggen6.31836 a également une particularité : certaines fonctions de ce malware sont cryptées (elles seront décryptées au moment de l'exécution ; pour ce faire, le Trojan réserve la mémoire qui sera automatiquement libérée après l'exécution du code). Ce malware peut également vérifier la présence, sur le système infecté, d’une machine virtuelle et éviter le Contrôle de compte d'utilisateur (User Accounts Control, UAC).

BackDoor.Yebot possède les fonctionnalités suivantes :

• lancement d’un serveur proxy FTP sur l'ordinateur infecté ;
• lancement d’un serveur proxy Socks5 sur l'ordinateur infecté ;
• modification du protocole RDP pour fournir l'accès distant à l'ordinateur infecté ;
• enregistrement des frappes clavier (keylogging) ;
• possibilité de communiquer avec un PC infecté via FTP, RDP et Socks5, si le réseau utilise NAT (backconnect) ;
• interception des données PCRE (Perl Compatible Regular Expressions) - la bibliothèque qui réalise les expressions régulières dans l'environnement Perl. Pour ce faire, le Trojan intercepte toutes les fonctions possibles liées au travail sur Internet ;
• intercepter les tokens SCard ;
• exécuter des injections web, c'est-à dire intégrer un code parasite dans les pages web consultées par l'utilisateur ;
• intercepter diverses fonctions système, en fonction du fichier de configuration reçu ;
• modification du code du processus lancé en fonction du fichier de configuration reçu ;
• interaction avec les différents modules fonctionnels (plug-ins) ;
• captures d'écran ;
• recherche dans le système infecté de clés privées.

Pour échanger les données avec le serveur, BackDoor.Yebot utilise le protocole HTTP standard et son protocole binaire. Les serveurs de gestion du Trojan possèdent des paramètres dits « paranoïdes » : par exemple, ils peuvent ajouter une adresse IP à une liste noire si la requête reçue de cette adresse est incorrecte ou si cette adresse IP a envoyé trop de requêtes.

Les spécialistes de Doctor Web supposent que BackDoor.Yebot peut être utilisé comme un Trojan bancaire : ce Trojan est multifonction et il peut interagir avec d'autres plug-ins. Les signatures de BackDoor.Yebot et de Trojan.Siggen6.31836 ont été ajoutées aux bases virales Dr.Web et ces Trojans ne représentent aucune menace pour les utilisateurs des logiciels Dr.Web.