Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un Trojan avec des fonctionnalités « antivirus » (!)

Le 18 juin 2014

Les spécialistes de Doctor Web ont terminé l'analyse du Trojan multi composants Trojan.Tofsee, qui a plusieurs fonctionnalités. Ce Trojan est conçu pour envoyer du spam, mais il a une fonctionnalité assez curieuse : l'un des modules du Trojan.Tofsee est conçu pour supprimer sur l'ordinateur infecté les autres Trojans et malwares.

Parfois, les utilisateurs négligent la nécessité d'installer sur l'ordinateur un logiciel antivirus, et deviennent parfois les victimes des distributeurs de malwares. Dans ce cas, nous pouvons dire que les victimes du Trojan.Tofsee ont de la chance d’une certaine façon, car outre l'envoi du spam, il peut traiter le système d'une manière assez efficace.

Le Trojan.Tofsee est distribué par les moyens suivants : via Skype, les réseaux sociaux et les supports amovibles. Dans le premier cas, les malfaiteurs utilisent les moyens de l'ingénierie sociale classiques et essaient de convaincre les utilisateurs que des photos d’eux compromettantes circulent sur Internet. Bien sûr, une telle approche pourrait être appelée un " classique du genre " car les malfaiteurs utilisent cette technique depuis longtemps. Mais de nombreuses personnes tombent dans ces pièges.

Le Trojan.Tofsee télécharge un module spécial chargé de sa propagation sur Twitter, Facebook et « VKontakte », ainsi que sur Skype. Les messages sont composés selon un exemple qui est inclus dans le fichier de configuration. Les messages dans les réseaux sociaux sont envoyés aux utilisateurs en tenant compte de la langue nationale.

Le texte du message texte inclut un lien vers la page où la victime potentielle peut se familiariser avec ses vidéos ou des photos compromettantes. Afin de regarder ce contenu, la victime doit télécharger un plug-in pour le navigateur qui représente le Trojan.Tofsee.

screen

Pour envoyer des messages sur Twitter, Facebook et "VKontakte", le module malveillant utilise les données de sessions depuis les cookies des navigateurs Microsoft Internet Explorer, Mozilla Firefox, Opera, Safari et Google Chrome. Sur Skype, il utilise les boutons de la fenêtre de l'application. Le module est également capable de reconnaître la protection captcha sur Facebook. Il envoie cette image au serveur où elle sera reconnue et le Trojan reçoit le texte pour l'entrer dans le message.

Un autre module permet au Trojan de se propager via des supports amovibles. Pour ce faire, les malfaiteurs ont décidé de ne pas réinventer la roue et ont utilisé un moyen traditionnel : le module sauvegarde le fichier exécutable du Trojan.Tofsee dans la corbeille et crée un fichier autorun.inf dans le dossier racine du support amovible. La contamination sera effectuée à la commande depuis le serveur de gestion.

Un autre module assure la mise à jour du noyau du Trojan.Tofsee. Il utilise un fichier de configuration spécial qui contient tous les paramètres nécessaires. Si l'un des paramètres n'est pas spécifié, au lieu de se mettre à jour, le Trojan télécharge depuis le serveur l'image suivante :

screen

Le module le plus intéressant du Trojan est celui qui recherche et supprime sur l'ordinateur infecté les Trojans et autres malwares détectés (sauf le Trojan.Tofsee). Ce plug-in permet de rechercher des fichiers sur le disque, ainsi que les entrées dans le registre Windows, de lister les processus lancés et de supprimer les objets dangereux. Ainsi, même si l'ordinateur de la victime n'est pas protégé par un antivirus, le Trojan.Tofsee s'occupe de sa « sécurité » !

La fonctionnalité principale du Trojan.Tofsee est l'envoi de spam. Le texte des messages est crée à l'aide des exemples que le Trojan télécharge depuis le serveur des malfaiteurs. Les fonctionnalités réseau et d’utilisation du protocole SMTP sont gérées par le module principal du Trojan.Tofsee. Dès que le Trojan se connecte au serveur de gestion, il reçoit une clé pour décrypter les données. Il envoie ensuite les données au serveur et reçoit en retour des commandes à exécuter. Il est curieux que le Trojan utilise sa propre langue de script pour créer les messages, ce qui est très rare parmi les logiciels malveillants.

Le Trojan.Tofsee peut télécharger depuis les serveurs distants 17 modules, qui représentent des bibliothèques dynamiques. Outre ceux décrits ci-dessus, les autres modules que le Trojan.Tofsee utilise ont les fonctionnalités suivantes :

  • Un module pour vérifier les adresses des nœuds distants, transmis sous forme d'un bloc de données de configuration ;
  • Un plug-in pour lancer des attaques DDoS. Il est capable de réaliser deux types d'attaques : http flood et syn flood ;
  • Un module représentant un Trojan.PWS.Pony.5 crypté ;
  • Un module pour l'enregistrement des données du navigateur Microsoft Internet Explorer. Il extrait de son corps et intègre la bibliothèque IEStub.dll dans le processus du navigateur. Son fonctionnement est contrôlé par un fichier de configuration séparé ;
  • Un module pour traiter les images, qui les télécharge dans des structures spéciales pour le fonctionnement d'autres plug-ins ;
  • Un module qui extrait des adresses e-mail à partir de Internet Account Manager et PStoreCreateInstance, génère une adresse d'expéditeur %NAMEPC%@mail.ru et essaie d'envoyer les messages aux adresses de la liste générée ;
  • Un plug-in qui télécharge le malware Trojan.BtcMine.148, conçu pour la récolte de la crypto monnaie Bitcoin. Il installe dans le système le Trojan.BtcMine.148 et lui transmet les paramètres nécessaires ;
  • Un module qui installe dans le dossier system32\drivers\ le Trojan.Siggen.18257 un fichier avec un nom aléatoire et l’extension .sys, puis le lance ;
  • Un module qui exécute les fonctions http- et socks5 proxy ;
  • Un module chargé de la génération et de l'envoi de messages; Il utilise sa langue de script pour générer des messages et les envoie via HTTPS. Le cryptage SSL est réalisé par Microsoft Unified Security Protocol Provider ;
  • Une bibliothèque pour intercepter et analyser le trafic à bas niveau, qui utilise un pilote spécifique. Elle recherche les données nécessaires dans le flux FTP et SMTP, et peut remplacer l'adresse et le corps du message ;
  • Un plug-in qui traite les modèles de configuration et les forme dans la mémoire ;
  • Un module qui met en œuvre la langue de script pour créer les messages envoyés par le Trojan.

La signature du Trojan.Tofsee, ainsi que ses modules additionnels ont été ajoutés aux bases virales Dr.Web et ce Trojan ne représente aucune menace pour les utilisateurs des logiciels Dr.Web. Les spécialistes de Doctor Web appellent les lecteurs à ne pas compter sur un virus qui protège contre ses homologues et à utiliser les moyens traditionnels de la protection antivirus ainsi que de toujours actualiser leurs bases virales.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg