Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un nouveau trojan vole les mots de passe des clients FTP et participe à des attaques DDoS

Le 20 août 2012

Doctor Web alerte sur la propagation d’un programme malveillant BackDoor.IRC.Codex.1, capable de lancer des fichiers téléchargés depuis Internet sur le PC, de participer à des attaques DDoS et de voler les mots de passe des clients FTP et des données entrées dans les formulaires en ligne. Le trojan ressemble à un autre programme malveillant, BackDoor.IRC.Aryan.1, qui a infecté un nombre important de PC partout dans le monde.

Comme ses prédécesseurs, BackDoor.IRC.Codex.1 utilise la technologie IRC (Internet Relay Chat) pour coordonner sont fonctionnement, IRC étant un protocole permettant un échange de messages en temps réel. Une fois lancé sur le PC de la victime, le trojan cherche dans la mémoire le processus Windows (cmd.exe) et le supprime, ensuite, il sauvegarde une copie de lui-même dans un des dossiers et modifie le registre Windows, en enregistrant le chemin vers le fichier exécutable dans la branche du registre relative à l’auto démarrage des applications. En même temps, BackDoor.IRC.Codex.1 surveille sans arrêt cette branche et la restaure si nécessaire.

screen

Suite à son lancement, BackDoor.IRC.Codex.1 entreprend des actions pour éviter de se faire analyser : ainsi, le trojan recherche dans la mémoire les processus des debuggers et vérifie s'il n'est pas lancé dans une machine virtuelle. Le trojan vérifie également s’il est toujours dans l’OS en comparant le dossier d’où il a été lancé avec un dossier où il a sauvegardé sa propre copie. Ensuite BackDoor.IRC.Codex.1 intègre sa propre procédure dans tous les processus actifs et lance sa procédure en tant que flux particulier dans son propre processus.

Ce programme malveillant possède une fonctionnalité très large : il est capable de télécharger depuis un serveur distant des fichiers sur le PC infecté, de les lancer, de participer à des attaques DDoS, de transmettre aux malfaiteurs les informations entrées par l’utilisateur dans les formulaires en ligne et de voler les mots de passe des clients FTP. Le trojan ne représente pas de menace pour les utilisateurs des solutions antivirus Doctor Web, car la signature BackDoor.IRC.Codex.1 a été ajoutée aux bases virales et le programme est facilement détecté et supprimé par le logiciel Dr.Web.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg