27 juin 2016

Certains Trojans modernes sont des malwares multi composants complexes qui peuvent exécuter un certain nombre de fonctions. Dans ce papier, nous allons étudier un Trojan injecteur nommé Trojan.MulDrop6.44482, dont l’échantillon nous a aimablement été transmis par Yandex.

Ce malware a été conçu pour diffuser d’autres logiciels malveillants notamment un dangereux logiciel espion (spyware) destiné à attaquer les services comptabilité d’entreprises russes.

Trojan.MulDrop6.44482 est diffusé en tant que programme d’installation qui scanne le système à la recherche de logiciels antivirus comme Dr.Web, Avast, ESET ou Kaspersky. Si l’un de ces antivirus est détecté ou bien si l’ordinateur n’utilise pas la version russe de Windows, l’injecteur cesse de fonctionner. Dans d’autres cas, il sauvegarde le packer 7z et une archive protégée par mot de passe sur le disque. Ensuite, il récupère les fichiers de l’archive un par un. Parmi eux, plusieurs logiciels et des bibliothèques dynamiques qui ont différentes fonctions. L’un des logiciels dézippé, que Dr.Web détecte sous le nom de Trojan.Inject2.24412, est un Trojan embarqué dans des processus de bibliothèques malveillantes lancées sur l’ordinateur compromis. Le second logiciel dézippé est le Trojan.PWS.Spy.19338, un logiciel espion qui envoie le contenu entré dans les fenêtres de différents logiciels, notamment les logiciels de compta.

Trojan.PWS.Spy.19338 est lancé directement en mémoire de l’ordinateur sans être sauvegardé sous forme déchiffrée sur le disque. Le disque contient sa copie chiffrée. Le principal objectif de ce Trojan est d’enregistrer les frappes clavier et de recueillir des informations sur le système. En outre, le module de keylogging envoie des données aux cybercriminels depuis l’historique du presse-papier. Le malware peut lancer des logiciels avec ou sans sauvegarde immédiate sur le disque. Chaque module du Trojan exécute ses propres fonctions.

Toutes les données envoyées par le malware au serveur sont chiffrées grâce à l’algorithme RC4 puis avec XOR. Le Trojan sauvegarde les frappes clavier enregistrées sur le disque dans un fichier spécifique et transmets les contenus au serveur à chaque minute. Le malware envoie également le nom de la fenêtre dans laquelle les frappes ont été enregistrées. Le logiciel malveillant contrôle l’activité de l’utilisateur dans les logiciels suivants :

• 1C version 8
• 1C version 7 and 7.7
• SBIS++
• Skype
• Microsoft Word
• Microsoft Excel
• Microsoft Outlook
• Microsoft Outlook Express and Windows Mail
• Mozilla Thunderbird

De plus, il collecte des informations sur les périphériques connectés pour l’utilisation de cartes à puce. Des composants séparés du Trojan.PWS.Spy.19338 permettent d’envoyer des informations sur le système de l’ordinateur au serveur C&C.

L’antivirus Dr.Web détecte et supprime tous les malwares suscités. Nos utilisateurs sont donc protégés. Les chercheurs de Doctor Web tiennent à remercier Yandex de leur avoir fourni l’échantillon de ce Trojan pour leurs recherches.

En savoir plus sur Trojan.MulDrop6.44482

En savoir plus sur Trojan.PWS.Spy.19338