Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Le Trojan.Spambot.11349 vole les mots de passe des comptes utilisateurs des clients de messagerie

Le 24 avril 2012

Doctor Web annonce la propagation d’un programme malveillant avec un algorithme de fonctionnement assez intéressant, il s’agit du Trojan.Spambot.11349. Le danger de ce trojan consiste dans sa capacité à voler les données des comptes utilisateurs des clients de messagerie, notamment ceux de Microsoft Outlook et The Bat!, il transmet également aux malfaiteurs les données utilisées par la fonction d'autocompletion des formulaires (champs d'entrées) dans les navigateurs web.

Ce trojan se propage via un botnet de backdoors très répandu, Backdoor.Andromeda. Le Trojan.Spambot.11349 possède deux composants : un loader écrit en langage Delphi et une bibliothèque dynamique contenant un payload. Les fonctions de loader consistent à détourner le pare-feu et à installer le payload. Si le loader est lancé depuis un processus dont le nom ne contient pas "vcnost.e", le trojan élimine tous les processus contenant dans leurs noms svcnost, ensuite il se sauvegarde dans un des dossiers sur le disque dur sous le nom svcnost.exe et crée un lien correspondant dans les branches de la base de registre relatives à l'auto démarrage des applications.  Ensuite, le Trojan.Spambot.11349 lance une copie de lui-même et si cette copie s'exécute  en mode administrateur, le trojan apporte des modifications dans la base de registre afin de détourner le pare-feu Windows, il écrase le fichier hosts en bloquant l’accès de l'utilisateur à des sites d’éditeurs d'antivirus. Enfin, le loader enregistre la bibliothèque dynamique contenant un payload dans la mémoire vive de l'ordinateur puis c'est à elle d'agir.

screen

A partir de là, la bibliothèque vérifie si sa copie est sauvegardée sur le disque, ensuite elle enregistre dans la base de registre  une valeur de 9 chiffres aléatoires, qui deviennent un identificateur du bot.  Le Trojan.Spambot.11349 sauvegarde la bibliothèque sur le disque pour pouvoir fonctionner avec SSL et la bibliothèque zlib, lui permettant de compresser toutes les lignes de ses commandes.  En même temps, une adresse IP parasite se trouve dans le champ HOST des requêtes envoyées par le bot, c'est là le trait caractérisant le Trojan.Spambot.11349 car il n’est pas courant qu’un trojan utilise des bibliothèques dynamiques différentes pour zlib et SSL.

Un autre trait distinctif du Trojan.Spambot.11349 est qu’il envoie une séquence de requêtes à des adresses IP générées par  un algorithme spécialisé selon  la liste des sous-réseaux contenue dans les ressources du trojan. Ensuite, le trojan se connecte à l’un des trois serveurs de gestion dont les adresses se trouvent dans la bibliothèque sous forme codée, qui lui envoie un fichier de configuration. Si le trojan réceptionne correctement le fichier, il compose une ligne de requête contenant les données volées des comptes utilisateurs Microsoft Outlook et The Bat!, cette demande est compressé par zlib et transmise au serveur de gestion. Lorsque l’OS est infecté, le trojan vérifie s'il peut se servir de l'ordinateur pour envoyer du spam, il cherche à envoyer des spams contenant des  symboles pris au hasard. Si l'envoi de spam est réussi, le trojan reçoit depuis le serveur de gestion des instructions pour d'autres envois. Au 24 avril, les messages spam du Trojan.Spambot.11349 étaient de la publicité pour le viagra.

La signature de cette menace est ajoutée aux bases virales Dr.Web.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg