Revenir vers la liste d'actualités
Le 10 juin 2016
Le Trojan.Kovter se propage à l'aide d'un autre Trojan — Trojan.MulDrop6.42771, qui a été conçu spécialement pour installer sur les ordinateurs attaqués des programmes malveillants. Ce couple est détecté par Dr.Web Antivirus comme Trojan.Kovter.297. Malgré sa simplicité apparente, le Trojan.MulDrop6.42771 a une architecture assez compliquée. Le code du Trojan contient beaucoup de chaînes aléatoires et des appels de fonctions, ce que lui permet d'empêcher son analyse, sa bibliothèque malveillante principale est dissimulée dans les ressources du Trojan.MulDrop6.42771 sous la forme d’une image. Ce Trojan est capable de déterminer si des machines virtuelles ou d’autres outils de débogage sont en cours d’exécution sur l'ordinateur, compte tenu du fait que ces outils sont souvent utilisés par les analystes dans les examens des échantillons de malware. S'il détecte de tels programmes, le Trojan termine son fonctionnement. En outre, il peut afficher sur l'écran des messages et désactiver le contrôle de comptes utilisateur Windows (User Accounts contrôle, UAC).
Trojan.MulDrop6.42771 peut réaliser son propre autorun dans le système de sept façons différentes, et pour le lancement de charges utiles, les auteurs de virus ont conçu six différentes méthodes : Trojan.MulDrop6.42771 utilise celle qui est spécifiée dans sa configuration. De plus, ce logiciel malveillant peut se copier dans les dossiers racines de tous les disques connectés à l’ordinateur infecté, en y créant des fichiers autorun.inf, c'est-à-dire, se propager comme un ver.
Comme il a déjà été mentionné précédemment, certains échantillons du Trojan.MulDrop6.42771 contiennent le Trojan sans corps de la famille TrojanKovter. Normalement, il est lancé par un Trojan dit support, mais il est doté aussi d'un mécanisme d'autorun. Ce programme malveillant crée plusieurs entrées dans le registre : l’une contient le corps du Trojan sous format chiffré, l'autre comprend un script pour son décryptage et son chargement dans la mémoire de l'ordinateur. Les noms de ces enregistrements incluent des caractères ne pouvant pas être lus, du coup le programme standard regedit ne peut pas les afficher.
En fait, le Trojan.Kovter fonctionne dans la mémoire de l'ordinateur contaminé sans enregistrer sa propre copie sur le disque sous forme de fichier, ce qui, dans une certaine mesure, empêche sa détection et suppression. En termes de fonctions malveillantes le Trojan.Kovter peut être classé comme un Trojan publicitaire — à l'insu de l'utilisateur, il lance en tâche de fond plusieurs exemplaires du navigateur Microsoft Internet Explorer, et avec leur aide, il visite les sites spécifiés par les pirates en cliquant sur les liens et bannières publicitaires afin d'augmenter le nombre d'affichage des publicités. Les criminels se rémunèrent sur le nombre de clics ou de visites.
Malgré le fait que le Trojan.Kovter tente de masquer son fonctionnement sur la machine contaminée, l'analyse de l'ordinateur avec Dr.Web Antivirus permet de se protéger d'une telle contamination. Il est recommandé aux utilisateurs de ne pas oublier les mises à jour régulières des bases virales et de scanner leurs ordinateurs en cas de suspicion de présence d'un malware.
En savoir plus sur Trojan.MulDrop6.42771
En savoir plus sur Trojan.Kovter.297
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments