Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

De Nouveaux Trojans downloaders fonctionnent à la dérobée

Le 6 mars 2018

Les analystes de Doctor Web examinent plusieurs Trojans de la famille bien connue des Trojan.LoadMoney, qui téléchargent d'autres applications dangereuses sur les ordinateurs contaminés.

La famille de programmes malveillants Trojan.LoadMoney est connue depuis 2013 et de nouveaux représentants de cette catégorie apparaissent avec une régularité surprenante. L'un d'eux a reçu le nom de Trojan.LoadMoney.3209. Le Trojan comporte deux adresses depuis lesquelles il télécharge et lance d'autres malwares. Au moment de l'étude, il téléchargeait sur les deux adresses le même fichier chiffré et l'enregistrait dans un dossier temporaire ayant un nom aléatoire. Ce fichier est ensuite lu en mémoire, puis il est supprimé et ensuite de nouveau enregistré dans un autre dossier temporaire avec un nom aléatoire. Finalement, ce fichier exécutable est lu en mémoire et lancé depuis la mémoire, le fichier originel est supprimé.

L'un des fichiers qui sont chargés par Trojan.LoadMoney.3209 a été nommé Trojan.LoadMoney.3558. Ce programme malveillant est plus compliqué. Trojan.LoadMoney.3558 jour un rôle principal dans la contamination de l'OS et utilise l'utilitaire cURL qui est disponible en accès libre pour télécharger des fichiers. Cet utilitaire permet de communiquer simultanément avec plusieurs serveurs Internet via une multitude de protocoles différents. Le Trojan déchiffre l'utilitaire et l'enregistre sur le disque. Pour télécharger des fichiers sur un ordinateur contaminé en utilisant cURL, Trojan.LoadMoney.3558 utilise le Planificateur de tâches Windows. Le Trojan contient quatre adresses chiffrées de sites web, dont l'une est utilisée pour fonctionner avec cURL et les trois autres pour télécharger de manière invisible le fichier exécutable nommé Trojan.LoadMoney.3263 qui est ensuite lancé. Une fois lancé, le fichier original Trojan.LoadMoney.3263 est supprimé.

Après avoir été téléchargé, le Trojan extrait de son corps un fichier exécutable, restaure son en-tête et l'enregistre dans un dossier temporaire, puis il le lance. Dr.Web détecte ce fichier comme Trojan.Siggen7.35395. Puisqu’aucun effet visuel n'a été ajouté à ce code par les auteurs du malware, les Trojans décrits ci-dessus ne se manifestent pas de manière visible dans le système infecté, ceci qui rend difficile la détection de leur activité malveillante.

Les analystes de Doctor Web continuent à étudier cette famille de programmes malveillants ainsi que les fichiers qu'ils téléchargent sur Internet. Les produits antivirus Dr.Web protègent de manière efficace contre tous les représentants connus de la famille Trojan.LoadMoney, ce malware ne représente aucun risque pour nos utilisateurs.

Plus d'infos sur ce Trojan

#mining #Trojan

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2018

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg