Le 14 juillet 2011

Doctor Web annonce la propagation du Trojan.DownLoad2.29598 censé télécharger et installer des programmes et des drivers malveillants sur le PC infecté à l'insu de l'utilisateur. Le cheval de Troie utilise des algorithmes lui permettant d’éviter sa détection lors de l'analyse par un déboggueur, il ne se lance pas dans les machines virtuelles.

Suite à son lancement dans le PC infecté, le Trojan.DownLoad2.29598 enregistre un lien vers lui-même dans la branche de la base de registre relative à l’autodémarrage des applications, s’alloue de la mémoire vive et copie les bibliothèques nécessaires à son fonctionnement. Autrement dit, le trojan possède son propre installateur de bibliothèques, lui permettant d'éviter les interceptions des antivirus.

En conséquence, la plupart des débogueurs n'arrivent pas à établir les noms des fonctions utilisées par le trojan, ce qui rend difficile l'étude de ce genre de menaces. Grâce à un algorithme spécial, le trojan analyse s'il n'est pas lancé dans la machine virtuelle. Il est également capable de se dissimuler aux antivirus.

Suite à son lancement, le Trojan.DownLoad2.29598 envoie une requête au serveur smtp16.mail.ru pour vérifier si la connexion Internet est établie . Ensuite, il cherche à connecter le serveur de commandes et envoie une demande chiffrée, en réponse il reçoit soit l’ordre de télécharger un fichier malveillant, de le lancer en tâche de fond, de l'intégrer dans un des processus en cours de la mémoire ou de lancer un driver.

La signature du Trojan.DownLoad2.29598 est déjà dans les bases virales Dr.Web, ce qui assure la protection de nos utilisateurs.. Un scan régulier des disques durs de votre PC est vivement conseillé.