Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Analyse d’un mécanisme particulier utilisé par certains trojans

Le 12 octobre 2012

Doctor Web informe les utilisateurs de la propagation d'un ensemble de programmes malveillants via un réseau peering, Trojan.PWS.Panda.2395, ces programmes malveillants utilisant un moyen particulier d'infection pour ensuite réaliser des attaques DDoS et diffuser du spam.

C'est par l’infection du PC par le trojan très répandu, Trojan.PWS.Panda.2395, que commence la première étape de contamination. Tout d’abord, un fichier d’installation est téléchargé sur le PC depuis un réseau peering. Ce fichier contient un module malveillant codé. Suite à la décompression de ce module, un autre module se lance, servant à son tour à télécharger un autre programme malveillant détecté par le logiciel Dr.Web comme Trojan.DownLoader.

screen

Ce dernier programme malveillant, un downloader, est téléchargé sur le PC sous la forme d'un fichier exécutable portant un nom aléatoire, qui modifie la branche du registre relative à l'auto démarrage des applications.

C’est le téléchargement par le trojan des autres programmes malveillants qui nous intéresse surtout. Le Trojan.DownLoader contient dans son corps une liste codée de noms de domaines et il s’adresse à cette liste via le protocole HTTPS. En réponse, le trojan reçoit une page web, dans laquelle il va chercher le tag HTML <img src="data:image/jpeg;base64 … >, contenant un fichier malveillant codé. Le trojan copie ce fichier depuis la page web, le décode et l’intègre à svchost.exe ou l’enregistre dans un dossier temporaire. De plus, le corps du downloader contient un module DDoS et une liste d’adresses pour lancer une attaque.

screen

Ensuite, un module DDoS crée de un à huit flux indépendants via lesquels il envoie sans arrêt des requêtes POST aux serveurs (il s’agit toujours des serveurs se trouvant dans la liste du downloader). Il cherche également à établir une connexion via un protocole SMTP avec certains serveurs en envoyant des données aléatoires. En tout, la liste contient 200 adresses de pages à attaquer parmi lesquelles des pages comme love.com, appartenant à America On-Line, des sites de grandes universités américaines, ainsi que les sites msn.com, netscape.com etc.

Mais ce ne sont pas toutes les fonctionnalités du downloader. Ce dernier choisit un domaine dans la liste, lui adresse une requête HTTP et reçoit en réponse une page web, dans laquelle il cherche de nouveau un tag <img src="data:image ...>, dans lequel il doit trouver des données codées avec l’algorithme base-64.

screen

Suite au décodage, la page web est sauvegardée sous la forme d’un fichier JPEG. Ce fichier contient également une archive gzip. C’est dans cette archive que se trouve le programme malveillant BackDoor.Bulknet.739, un backdoor servant à diffuser du spam.

Les signatures de toutes ces menaces ont été ajoutées aux bases virales Dr.Web et ne représentent pas de danger pour les utilisateurs Doctor Web.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg