Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un nouveau backdoor intercepte les données entrées via le clavier

Le 9 septembre 2013

Doctor Web alerte sur la diffusion d'un programme malveillant BackDoor.Saker.1 pouvant déjouer le mécanisme de contrôle des comptes utilisateurs. La fonction principale de BackDoor.Saker.1 est l'exécution de commandes provenant des pirates, et, surtout, l'interception des touches tapées par l'utilisateur (keylogging).

Après avoir pénétré l'ordinateur, le Trojan lance le fichier temp.exe, conçu pour contourner le système UAC (contrôle des comptes utilisateurs, UAC). Ce fichier extrait la bibliothèque pour contourner l'UAC et s'intègre dans le processus explorer.exe. Par la suite, la bibliothèque est stockée dans un dossier système. Ensuite, lorsque l’utilisateur démarre l'utilitaire système Sysprep, la bibliothèque lance une application malveillante ps.exe détectée par Dr.Web Antivirus comme Trojan.MulDrop4.61259. A son tour, ce fichier sauvegarde dans un autre dossier une autre bibliothèque, qu'il enregistre en tant que service dans la base de registre Windows sous le nom « Net Security Service », accompagnée de la description suivante : «keep watch on system security and configuration.if this services is stopped,protoected content might not be down loaded to the device». C'est cette bibliothèque qui comporte les fonctionnalités nuisibles du backdoor.

screenshot

S’il s’est lancé avec succès, le BackDoor.Saker.1 recueille et transmet aux pirates des informations sur l'ordinateur contaminé, y compris la version de Windows, la vitesse du processeur, la quantité de RAM physique, le nom de la machine, le nom d'utilisateur, le numéro de série du disque dur. Ensuite, le Trojan crée dans un dossier système un fichier dans lequel sont enregistrées les frappes clavier de l'ordinateur. Puis le backdoor attend une réponse d'un serveur distant qui peut inclure les commandes suivantes : redémarrer, éteindre l'ordinateur, se supprimer, démarrer un flux séparé pour exécuter une commande via l'interpréteur de commande ou afin de lancer son propre gestionnaire de fichiers qui a la capacité de télécharger des fichiers depuis l'ordinateur de l'utilisateur ; télécharger des fichiers via le réseau, créer des dossiers, supprimer, déplacer des fichiers et les exécuter.

La signature de ce malware a été ajoutée aux bases virales Dr.Web, c'est pourquoi le Trojan.Mods.1 ne représente aucun danger pour les utilisateurs des logiciels antivirus Dr.Web.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg