Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un Backdoor turc obtient des données en analysant les pages web

Le 10 juin 2014

Parmi les créateurs de logiciels malveillants, on trouve souvent des habitants de l'ex-URSS et des chinois. Les spécialistes peuvent identifier les auteurs de malwares en analysant leurs codes. Le backdoor BackDoor.Zetbo.1, détecté par les spécialistes de Doctor Web à la fin du mois de mai 2014, vient, lui, de Turquie.

Il s'installe dans le système sous couvert d'un service Windows Power Management (winpwrmng), d’après le schéma suivant : Allows Users to Manage the Power Options. Le Backdoor s'enregistre sur le disque comme un fichier exécutable portant le nom taskmgr.exe, et stocke tous ses fichiers dans le dossier %APPDATA%\Roaming\. Lors de son installation dans le système, le BackDoor.Zetbo.1 affiche un message en turc : rundll bu dosyayı açamıyor. Dosya çok büyük, signifiant : « rundll ne peut pas ouvrir ce fichier, car il est très volumineux ».

Après son lancement, le service malveillant vérifie si le backdoor fonctionne dans le système, sinon, il le lance. Si l'utilisateur essaie d'arrêter le service, le Trojan arrête Windows en affichant le message suivant : Windows had to be closed. Windows Power Services is turned off.

screen

Ce logiciel malveillant est conçu pour exécuter des commandes provenant d’un serveur distant (dont l'adresse est intégrée au code du Trojan) sur l'ordinateur infecté. A savoir : sa mise à jour, suppression de fichiers, vérification de la présence de ses composants sur le disque, l'arrêt du système. Le Trojan enregistre et transmet aux pirates des informations sur la machine contaminée (par exemple, le numéro de série du disque dur). Cependant, la façon dont il réceptionne ses paramètres depuis le serveur de gestion est très curieuse : après la connexion au serveur, le BackDoor.Zetbo.1 recherche une page web spéciale sur laquelle il y a plusieurs boutons. Après l'analyse des valeurs de tags html responsables de l'affichage de ces boutons dans le navigateur, le Trojan obtient les données de configuration nécessaires à son fonctionnement.

La signature de ce malware a été ajoutée aux bases virales Dr.Web, c'est pourquoi le BackDoor.Zetbo.1 ne représente aucun danger pour les utilisateurs des logiciels antivirus Dr.Web.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg