Le 6 mars 2018

Les analystes de Doctor Web examinent plusieurs Trojans de la famille bien connue des Trojan.LoadMoney, qui téléchargent d'autres applications dangereuses sur les ordinateurs contaminés.

La famille de programmes malveillants Trojan.LoadMoney est connue depuis 2013 et de nouveaux représentants de cette catégorie apparaissent avec une régularité surprenante. L'un d'eux a reçu le nom de Trojan.LoadMoney.3209. Le Trojan comporte deux adresses depuis lesquelles il télécharge et lance d'autres malwares. Au moment de l'étude, il téléchargeait sur les deux adresses le même fichier chiffré et l'enregistrait dans un dossier temporaire ayant un nom aléatoire. Ce fichier est ensuite lu en mémoire, puis il est supprimé et ensuite de nouveau enregistré dans un autre dossier temporaire avec un nom aléatoire. Finalement, ce fichier exécutable est lu en mémoire et lancé depuis la mémoire, le fichier originel est supprimé.

L'un des fichiers qui sont chargés par Trojan.LoadMoney.3209 a été nommé Trojan.LoadMoney.3558. Ce programme malveillant est plus compliqué. Trojan.LoadMoney.3558 jour un rôle principal dans la contamination de l'OS et utilise l'utilitaire cURL qui est disponible en accès libre pour télécharger des fichiers. Cet utilitaire permet de communiquer simultanément avec plusieurs serveurs Internet via une multitude de protocoles différents. Le Trojan déchiffre l'utilitaire et l'enregistre sur le disque. Pour télécharger des fichiers sur un ordinateur contaminé en utilisant cURL, Trojan.LoadMoney.3558 utilise le Planificateur de tâches Windows. Le Trojan contient quatre adresses chiffrées de sites web, dont l'une est utilisée pour fonctionner avec cURL et les trois autres pour télécharger de manière invisible le fichier exécutable nommé Trojan.LoadMoney.3263 qui est ensuite lancé. Une fois lancé, le fichier original Trojan.LoadMoney.3263 est supprimé.

Après avoir été téléchargé, le Trojan extrait de son corps un fichier exécutable, restaure son en-tête et l'enregistre dans un dossier temporaire, puis il le lance. Dr.Web détecte ce fichier comme Trojan.Siggen7.35395. Puisqu’aucun effet visuel n'a été ajouté à ce code par les auteurs du malware, les Trojans décrits ci-dessus ne se manifestent pas de manière visible dans le système infecté, ceci qui rend difficile la détection de leur activité malveillante.

Les analystes de Doctor Web continuent à étudier cette famille de programmes malveillants ainsi que les fichiers qu'ils téléchargent sur Internet. Les produits antivirus Dr.Web protègent de manière efficace contre tous les représentants connus de la famille Trojan.LoadMoney, ce malware ne représente aucun risque pour nos utilisateurs.

Plus d'infos sur ce Trojan

#mining #Trojan