Le 3 juin 2016

Les analystes de Doctor Web ont achevé l’étude d’un nouveau virus. Il est capable de voler de l’argent sur des comptes en banque russes, de dérober des informations confidentielles et espionner ses victimes de différentes manières. Ce virus hérite de certaines solutions techniques utilisées dans les Trojans bancaires connus comme Zeus (Trojan.PWS.Panda) et Carberp, mais à la différence de ces malwares, il est capable de se propager sans intervention de l'utilisateur et de contaminer les fichiers exécutables. C'est son principal danger. De plus, il est très difficile à éradiquer: le traitement peut prendre plusieurs heures.

Ce programme malveillant a été nommé Trojan.Bolik.1.Il s’agit d’un virus de fichier polymorphe.

Sa capacité à se propager et à contaminer des logiciels peut être considérée comme la fonctionnalité la plus dangereuse de ce Trojan bancaire. La fonction d'auto propagation est activée sur commande des malfaiteurs, puis Trojan.Bolik.1 commence à interroger les dossiers accessibles en écriture dans le voisinage réseau Windows et sur les périphériques USB connectés, dans lesquels il cherche des fichiers exécutables pour les infecter. Trojan.Bolik.1 peut infecter les applications 32-bits et 64-bits.

Dr.Web détecte les programmes contaminés par ce virus comme Win32.Bolik.1. Au sein de chacun de ces programmes, le Trojan bancaire Trojan.Bolik.1 est stocké sous forme cryptée, ainsi que d’autres informations dont ce virus a besoin. Si l’utilisateur lance sur son ordinateur une application contaminée, le virus déchiffre le Trojan bancaire Trojan.Bolik.1et le lance directement depuis la mémoire de l'ordinateur attaqué sans l'enregistrer sur le disque. Le virus a un mécanisme intégré spécifique qui permet de modifier « à la volée » le code et la structure de sa propre partie liée au déchiffrement du Trojan.Bolik.1. Ainsi, les auteurs du virus essaient d’empêcher sa détection par les logiciels antivirus. En outre, Win32.Bolik.1 tente de contrer les antivirus capables d'exécuter les programmes malveillants dans un émulateur spécialisé— l'architecture de ce virus prévoit une sorte de " retardataire " de l’exécution du code, comprenant de nombreux cycles et instructions répétitives.

Le Trojan.Bolik.1 a hérité d’un système de fichiers virtuel de Carberp, ce système est enregistré dans un fichier spécialisé. Le Trojan met ce fichier dans un des répertoires système ou dans le dossier de l’utilisateur. Le système de fichiers virtuel permet au malware de conserver sur l’ordinateur, de manière cachée, des informations dont il a besoin pour son fonctionnement. Chez Zeus, le Trojan.Bolik.1 a repris le mécanisme d'intégration de contenu aux pages Web consultées par les utilisateurs, c'est-à-dire la technologie des injections Web. C'est en utilisant cette technologie que les criminels volent des mots de passe et des logins pour les systèmes banque-client ainsi que d'autres informations sensibles. Le Trojan.Bolik.1 vise avant tout à voler des informations concernant les clients des banques russes - ceci est confirmé par des lignes caractéristiques dans le fichier de configuration transmis au virus depuis le serveur de contrôle.

L’objectif principal du Trojan.Bolik.1 est le vol d'informations importantes. Cet objectif peut être atteint de différentes manières. Par exemple, il peut contrôler les données transmises et envoyées par les navigateurs Microsoft Internet Explorer, Chrome, Opera et Mozilla Firefox. Grâce à cela, le Trojan peut voler les informations que l'utilisateur saisit dans les champs d'entrée sur l'écran. En outre, les fonctionnalités d'espion de ce Trojan comprennent un module destiné à créer des captures d'écran et à enregistrer les frappes clavier (keylogger). Le Trojan.Bolik.1 peut créer son propre serveur proxy sur la machine contaminée et un serveur Web permettant d'échanger des fichiers avec des criminels. Ce programme malveillant peut également trouver des fichiers particuliers selon un masque indiqué dans une commande spécifique. Comme certains autres Trojans bancaires modernes, le Trojan.Bolik.1 est capable d’organiser ce que l'on appelle des "reverse connections" qui permettent aux pirates de communiquer avec la machine contaminée se trouvant dans un réseau protégé par un pare-feu ou qui n'a pas d'adresse IP externe, puisqu'elle tourne dans un réseau utilisant NAT (Network Address Translation). Toutes les informations circulant entre le Trojan.Bolik.1 et son serveur de contrôle sont chiffrées par un algorithme complexe et compressées.

Les fonctionnalités du Trojan.Bolik.1 sont nombreuses et son architecture interne est assez compliquée. Dr.Web Antivirus détecte et supprime tous les composants de ce virus dangereux, mais compte tenu de certaines particularités de l'architecture de Trojan.Bolik.1, le traitement des ordinateurs contaminés peut prendre beaucoup de temps. Ceux qui ont été atteint par ce malware sont priés de patienter pendant le scan antivirus de leur PC.

Plus d'info sur le virus