Revenir vers la liste d'actualités
Le 20 août 2012
Comme ses prédécesseurs, BackDoor.IRC.Codex.1 utilise la technologie IRC (Internet Relay Chat) pour coordonner sont fonctionnement, IRC étant un protocole permettant un échange de messages en temps réel. Une fois lancé sur le PC de la victime, le trojan cherche dans la mémoire le processus Windows (cmd.exe) et le supprime, ensuite, il sauvegarde une copie de lui-même dans un des dossiers et modifie le registre Windows, en enregistrant le chemin vers le fichier exécutable dans la branche du registre relative à l’auto démarrage des applications. En même temps, BackDoor.IRC.Codex.1 surveille sans arrêt cette branche et la restaure si nécessaire.
Suite à son lancement, BackDoor.IRC.Codex.1 entreprend des actions pour éviter de se faire analyser : ainsi, le trojan recherche dans la mémoire les processus des debuggers et vérifie s'il n'est pas lancé dans une machine virtuelle. Le trojan vérifie également s’il est toujours dans l’OS en comparant le dossier d’où il a été lancé avec un dossier où il a sauvegardé sa propre copie. Ensuite BackDoor.IRC.Codex.1 intègre sa propre procédure dans tous les processus actifs et lance sa procédure en tant que flux particulier dans son propre processus.
Ce programme malveillant possède une fonctionnalité très large : il est capable de télécharger depuis un serveur distant des fichiers sur le PC infecté, de les lancer, de participer à des attaques DDoS, de transmettre aux malfaiteurs les informations entrées par l’utilisateur dans les formulaires en ligne et de voler les mots de passe des clients FTP. Le trojan ne représente pas de menace pour les utilisateurs des solutions antivirus Doctor Web, car la signature BackDoor.IRC.Codex.1 a été ajoutée aux bases virales et le programme est facilement détecté et supprimé par le logiciel Dr.Web.
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments