Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un nouveau bot IRC est détecté

Le 18 mai 2012

Doctor Web annonce la propagation du programme malveillant BackDoor.IRC.Aryan.1, capable de télécharger différents fichiers depuis des serveurs pirates et de lancer des attaques DdoS après la réception d’une commande d’un serveur IRC (Internet Relay Chat), IRC étant un protocole permettant d’effectuer un échange de données en temps réel.

Le programme malveillant BackDoor.IRC.Aryan.1 peut être considéré comme un bot IRC, il se propage par auto multiplication (par des copies de lui-même) sur les périphériques amovibles, en créant un dossier infecté et le fichier d'auto démarrage autorun.inf dans le répertoire racine du disque. De plus, BackDoor.IRC.Aryan.1 utilise un autre moyen d'infection des périphériques amovibles : le bot fait une copie de lui-même sur le périphérique, cache les fichiers existants dans un dossier crée par lui, et met à leur place des raccourcis menant vers des fichiers cachés mais aussi vers le dossier infecté. Lors de l’activation d’un tel raccourci, l’utilisateur non seulement ouvre le fichier recherché mais lance également BackDoor.IRC.Aryan.1. Lorsque l’infection du périphérique est réussie, le bot envoie un message à la chaine IRC des malfaiteurs.

screen

Ensuite, le programme malveillant fait une copie de lui-même dans un des dossiers comme svmhost.exe et sauvegarde un lien vers ce fichier dans la branche de la base du registre relative à l’auto démarrage. Le bot cherche également à entrer son code dans le processus explorer.exe.

BackDoor.IRC.Aryan.1 possède un mécanisme d’autoprotection : le bot vérifie en permanence sa présence sur le disque dur, si un des fichiers manque, il le sauvegarde depuis la mémoire vive. En même temps, il vérifie que l'inscription dans le registre Windows est toujours là. BackDoor.IRC.Aryan.1 cherche également à intégrer le code responsable du lancement répétitif du programme malveillant dans les processus : csrss.exe, alg.exe et dwm.exe.

Les fonctions BackDoor.IRC.Aryan.1 lui permettent de télécharger depuis le serveur distant et de lancer différents fichiers exécutables sur l’ordinateur infecté , ainsi que d’exécuter les commandes des pirates pour les attaques DDoS. La signature de cette menace a été ajoutée aux bases virales Dr.Web. Nous conseillons à nos utilisateurs de rester vigilants avec les périphériques amovibles et si possible de désactiver la fonction d’autodémarrage.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg