Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un trojan chinois infectant le MBR

Le 29 août 2012

Doctor Web a relevé la propagation d’un bootkit à plusieurs composants capable d'infecter le MBR. L'objectif principal de la menace Trojan.Xytets est de rediriger l'utilisateur vers des pages pirates.

Le programme malveillant Trojan.Xytets vient de Chine et contient 8 modules : un installateur, 3 driver, une bibliothèque dynamique et une série de composants supplémentaires. Une fois lancé dans l’OS, le trojan vérifie s’il n’est pas lancé sur une machine virtuelle et si un débugger n’est pas utilisé sur le PC, si le trojan détecte l’un des deux, il informe le serveur distant et arrête de fonctionner. Le trojan vérifie également si les applications spéciales pour les cybercafés chinois ne sont pas installées. Ensuite, il commence à infecter le PC.

Pour infecter le PC, le Trojan.Xytets sauvegarde sur le disque et enregistre dans le registre deux drivers à diverses fonctions, il lance son propre pare-feu, qui à son tour intercepte les packs IP envoyés depuis le PC. Le pare-feu empêche l'utilisateur d'aller sur certains sites, dont la liste se trouve dans le fichier de configuration. Les fichiers et les drivers du trojan sont sauvegardés sur le disque en double: dans le système de fichiers et sur le disque dur. Même si on arrive à supprimer ces fichiers, ce qui n'est pas nécessairement facile car le trojan les dissimule, les fichiers seront entièrement restaurés après le redémarrage de Windows.

screen

Un des driver surveille les processus lancés dans le système et cherche à comprendre si ces processus peuvent entraver le fonctionnement du trojan, si c’est le cas, il les bloque. Il est également capable de désactiver les actions des antivirus sur les processus lancés par le trojan. De plus, le trojan redirige l’utilisateur vers les sites des pirates, dont la liste se trouve dans le fichier de configuration. Le Trojan.Xytets s’adapte aux navigateurs suivants : Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Safari, Maxthon, QQBrowser, GreenBrowser et d’autres.

Ensuite, le trojan cache certains fichiers sur le disque et écrase le MBR pour obtenir le contrôle sur le système. De plus, le Trojan.Xytets est capable de fonctionner à l’insu de l’utilisateur et peut donc être considéré comme un rootkit.

Le serveur distant du Trojan.Xytets se trouve en Chine et collecte les informations sur le PC infecté, la version de l’OS et le fonctionnement du trojan. D’après les pages web listées dans les fichiers de configuration, le trojan cible surtout les habitants de Chine.

Les fonctionnalités du Trojan.Xytets sont les suivantes :

  • remplacer la page d’accueil des navigateurs par la page pirate;
  • redirection sur les pages pirates;
  • téléchargement et lancement des fichiers exécutables;
  • sauvegarde des raccourcis avec des liens sur les pages pirates dans le menu de lancement rapide Windows, dans le dossier Favoris et sur le bureau ;
  • lancement d’après un horaire prédéfini de Microsoft Internet Explorer et ouverture des pages pirates ;
  • blocage de l’accès aux divers sites d’une liste prédéfinie ;
  • blocage du lancement de certaines applications;
  • dissimulation des fichiers sur le disque;
  • infection du MBR.

La signature du Trojan.Xytets a été ajoutée aux bases virales Dr.Web et ne représente plus de danger pour les utilisateurs des logiciels Dr.Web.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg