Le 13 février 2012

Doctor Web informe ses utilisateurs sur la détection d’un nouveau backdoor, le BackDoor.Webcam.9. Ce trojan permet d’exécuter différentes commandes sur le PC infecté, ainsi que d’intercepter l’image de la webcam de l'utilisateur, portant atteinte à sa vie privée.

Les mécanismes de diffusion sont encore à étudier mais le schéma de l’infection est déjà très clair : le BackDoor.Webcam.9 se lance, fait une copie de lui-même dans le dossier des documents temporaires, puis s’inscrit dans une des branches de la base de registre relative à l'auto démarrage des applications et vérifie s’il n’est pas déjà installé sur le PC. Ensuite, le programme malveillant envoie des informations sur le PC infecté à un serveur distant, y compris l'adresse IP, le profil utilisateur, le nombre de webcams, le nom de l’ordinateur, la version du PC. Il attend ensuite les commandes du serveur.

Le BackDoor.Webcam.9 crée plusieurs fichiers, nécessaires pour son fonctionnement dans le système. Tous ces fichiers portent des noms commençant par rundll_.*, le backdoor les stocke dans le dossier des fichiers temporaires Windows.

Le trojan est capable d’exécuter des commandes envoyées depuis un serveur distant, il peut notamment se redémarrer, recevoir ses commandes d’un autre serveur distant automatiquement, enregistrer des captures d'écran. Enfin, il peut transmettre aux malfaiteurs l'image de la webcam du PC.

Le BackDoor.Webcam.9 représente une menace importante pour la vie privée des utilisateurs.

La signature de cette menace a été ajoutée aux bases virales Dr.Web.