Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Doctor Web a étudié un nouveau spyware ciblant les logiciels de comptabilité

27 juin 2016

Certains Trojans modernes sont des malwares multi composants complexes qui peuvent exécuter un certain nombre de fonctions. Dans ce papier, nous allons étudier un Trojan injecteur nommé Trojan.MulDrop6.44482, dont l’échantillon nous a aimablement été transmis par Yandex.

Ce malware a été conçu pour diffuser d’autres logiciels malveillants notamment un dangereux logiciel espion (spyware) destiné à attaquer les services comptabilité d’entreprises russes.

Trojan.MulDrop6.44482 est diffusé en tant que programme d’installation qui scanne le système à la recherche de logiciels antivirus comme Dr.Web, Avast, ESET ou Kaspersky. Si l’un de ces antivirus est détecté ou bien si l’ordinateur n’utilise pas la version russe de Windows, l’injecteur cesse de fonctionner. Dans d’autres cas, il sauvegarde le packer 7z et une archive protégée par mot de passe sur le disque. Ensuite, il récupère les fichiers de l’archive un par un. Parmi eux, plusieurs logiciels et des bibliothèques dynamiques qui ont différentes fonctions. L’un des logiciels dézippé, que Dr.Web détecte sous le nom de Trojan.Inject2.24412, est un Trojan embarqué dans des processus de bibliothèques malveillantes lancées sur l’ordinateur compromis. Le second logiciel dézippé est le Trojan.PWS.Spy.19338, un logiciel espion qui envoie le contenu entré dans les fenêtres de différents logiciels, notamment les logiciels de compta.

Trojan.PWS.Spy.19338 est lancé directement en mémoire de l’ordinateur sans être sauvegardé sous forme déchiffrée sur le disque. Le disque contient sa copie chiffrée. Le principal objectif de ce Trojan est d’enregistrer les frappes clavier et de recueillir des informations sur le système. En outre, le module de keylogging envoie des données aux cybercriminels depuis l’historique du presse-papier. Le malware peut lancer des logiciels avec ou sans sauvegarde immédiate sur le disque. Chaque module du Trojan exécute ses propres fonctions.

Toutes les données envoyées par le malware au serveur sont chiffrées grâce à l’algorithme RC4 puis avec XOR. Le Trojan sauvegarde les frappes clavier enregistrées sur le disque dans un fichier spécifique et transmets les contenus au serveur à chaque minute. Le malware envoie également le nom de la fenêtre dans laquelle les frappes ont été enregistrées. Le logiciel malveillant contrôle l’activité de l’utilisateur dans les logiciels suivants :

  • 1C version 8
  • 1C version 7 and 7.7
  • SBIS++
  • Skype
  • Microsoft Word
  • Microsoft Excel
  • Microsoft Outlook
  • Microsoft Outlook Express and Windows Mail
  • Mozilla Thunderbird

De plus, il collecte des informations sur les périphériques connectés pour l’utilisation de cartes à puce. Des composants séparés du Trojan.PWS.Spy.19338 permettent d’envoyer des informations sur le système de l’ordinateur au serveur C&C.

L’antivirus Dr.Web détecte et supprime tous les malwares suscités. Nos utilisateurs sont donc protégés. Les chercheurs de Doctor Web tiennent à remercier Yandex de leur avoir fourni l’échantillon de ce Trojan pour leurs recherches.

En savoir plus sur Trojan.MulDrop6.44482

En savoir plus sur Trojan.PWS.Spy.19338

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg