le 16 décembre 2016

Les programmes malveillants conçus pour l’installation non autorisée d’autres applications sont très populaires auprès des malfaiteurs. Sur Internet, il existe beaucoup de soi-disant " programmes partenaires "qui proposent une rémunération pour l'installation de logiciels, et les auteurs de virus en profitent. Un de ces Trojans installateurs nommé Trojan.Ticno.1537 a été analysé par les chercheurs de Doctor Web au début du mois de décembre 2016.

Trojan.Ticno.1537 est téléchargé sur un ordinateur ciblé par un autre malware. Une fois lancé, il tente de détecter la présence d’un environnement virtuel et d’outils de débogage en vérifiant les noms des processus en cours d’exécution et les branches du Registre Windows. De plus, il vérifie le Product ID Windows , le nom de l’utilisateur et de l’ordinateur, le nombre de dossiers imbriqués dans le répertoire Program Files, le nom du fabricant du BIOS et la présence dans le système d’exploitation des processus perl.exe ou python.exe en cours d’exécution. Si la vérification est concluante, le programme malveillant lance l’Explorateur puis cesse de fonctionner.

Si le Trojan n’a rien détecté de suspect, il enregistre sur le disque le fichier nommé 1.zip.

L'image ci-dessus présente une boîte de dialogue spécifique qui permet de sauvegarder le fichier de Microsoft Windows : dans le coin inférieur gauche, il contient le lien " Options avancées " qui, lorsqu’il est cliqué, permet au Trojan.Ticno.1537 d’afficher une liste de programmes qu’il va installer sur l'ordinateur :

Lorsque vous cliquez sur le bouton "Save", le Trojan.Ticno.1537 commence à télécharger et installer ces programmes.

Parmi les applications que le malware installe sur l’ordinateur, on trouve le navigateur Amigo et le programme HomeSearch@Mail.ru édité par la société Mail.Ru, ainsi que les Trojans Troian.ChromePatch.1, Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1 et Adware.Plugin.1400.

Le Trojan.ChromePatch.1 mentionné ci-dessus, est un Trojan publicitaire qui pénètre dans le système avec l’application TrayCalendar, créée en 2002. Le programme lui-même et le Trojan sont emballés dans le même package d’installation.

En même temps que la copie de TrayCalendar sur le disque, l’installateur enregistre et installe une extension pour Google Chrome. La caractéristique la plus intéressante de Trojan.ChromePatch.1 est qu’il est capable d’infecter le fichier de ressources du navigateur Chrome, resources.pak. Les pirates utilisent cette astuce au moins depuis le printemps 2015 afin que des publicités s’affichent dans Chrome même après la suppression du malware. Lors de la contamination, ce fichier ne change pas de taille puisque Trojan.ChromePatch.1 y recherche les chaînes avec des commentaires et les remplace par son propre code. Le but de Trojan. ChromePatch.1 est d'afficher dans le navigateur Chrome des publicités non sollicitées.

Dr.Web Antivirus détecte et neutralise tous les programmes malveillants mentionnés dans cet article, qui ne représentent donc aucun danger pour nos utilisateurs.

Plus d'infos sur ce Trojan