Le 14 novembre 2012

Doctor Web informe les utilisateurs de la propagation d’un nouveau trojan downloader dangereux, ajouté aux bases virales sous le nom de Trojan.DownLoader7.21125. Du point de vue de son architecture, ce programme n’est ni spécial ni complexe mais il est dangereux à cause de son niveau de propagation ainsi que par sa capacité à télécharger d’autres trojans sur le PC infecté.

Le Trojan.DownLoader7.21125 est primitif : le corps du trojan contient l’adresse d’un site web, qui, une fois ouvert, redirige l'utilisateur vers une autre ressource, depuis laquelle le Trojan.DownLoader7.21125 reçoit un fichier contenant une liste d’adresses des pages web où il doit télécharger des applications malveillantes. Sur la page de connexion avec le serveur via le protocole http, les pirates se loguent avec un mot de passe et un nom d’utilisateur.

Aujourd’hui, le Trojan.DownLoader7.21125 télécharge et installe sur les PC infectés un logiciel permettant le mining (afin de gagner des Bitcoin), des copies modifiées de lui-même et les programmes malveillants suivants :

• BackDoor.Andromeda.22 — un trojan downloader répandu capable de télécharger depuis les serveurs des pirates des programmes malveillants et de les installer sur le PC infecté.
• Trojan.Rodricter.21 — un rootkit multi composants, dont le dropper a des fonctionnalités d’anti-debugger. Le trojan utilise les vulnérabilités de l’OS pour augmenter ses droits. Il désactive User Accounts Control (UAC) aussi bien sous les OS 32- que 64- bits Windows. Il modifie les configurations des navigateurs Mozilla Firefox et Internet Explorer. Sa fonctionnalité principale est l’interception du trafic sur le PC infecté.
• Trojan.PWS.Multi.879 — un programme malveillant volant les mots de passe des applications connues, comme ICQ, Yahoo! Messenger, FTP Commander, Paltalk, AIM, Google Talk, MSN Messenger, Miranda, Trillian etc.
• BackDoor.HostBooter.3 — un trojan lançant des attaques DDoS et téléchargeant des fichiers sur commande du serveur distant.

Toutes les menaces citées ne sont pas nouvelles pour le logiciel Dr.Web.

Le trojan Trojan.DownLoader7.21125 peut être téléchargé par une autre application malveillante ou via une vulnérabilité des navigateurs. Le danger de ce trojan est que suite à l’infection du système, ce dernier peut très vite devenir un zoo avec plein d’autres applications malveillantes. Afin d'assurer la sécurité de vos PC, les spécialistes Doctor Web conseillent de mettre à jour régulièrement les bases virales.