Revenir vers la liste d'actualités
le 23 mars 2015
BackDoor.Yebot se propage à l'aide d'un autre logiciel malveillant, ajouté à la base virale Dr.Web sous le nom Trojan.Siggen6.31836. Lancé sur la machine infectée, il injecte son code dans les processus svchost.exe, csrss.exe, lsass.exe et explorer.exe, puis ayant envoyé la requête au serveur distant, il télécharge et décrypte le Trojan BackDoor.Yebot, le configure dans la mémoire et lui cède la gestion. Le Trojan.Siggen6.31836 a également une particularité : certaines fonctions de ce malware sont cryptées (elles seront décryptées au moment de l'exécution ; pour ce faire, le Trojan réserve la mémoire qui sera automatiquement libérée après l'exécution du code). Ce malware peut également vérifier la présence, sur le système infecté, d’une machine virtuelle et éviter le Contrôle de compte d'utilisateur (User Accounts Control, UAC).
BackDoor.Yebot possède les fonctionnalités suivantes :
- lancement d’un serveur proxy FTP sur l'ordinateur infecté ;
- lancement d’un serveur proxy Socks5 sur l'ordinateur infecté ;
- modification du protocole RDP pour fournir l'accès distant à l'ordinateur infecté ;
- enregistrement des frappes clavier (keylogging) ;
- possibilité de communiquer avec un PC infecté via FTP, RDP et Socks5, si le réseau utilise NAT (backconnect) ;
- interception des données PCRE (Perl Compatible Regular Expressions) - la bibliothèque qui réalise les expressions régulières dans l'environnement Perl. Pour ce faire, le Trojan intercepte toutes les fonctions possibles liées au travail sur Internet ;
- intercepter les tokens SCard ;
- exécuter des injections web, c'est-à dire intégrer un code parasite dans les pages web consultées par l'utilisateur ;
- intercepter diverses fonctions système, en fonction du fichier de configuration reçu ;
- modification du code du processus lancé en fonction du fichier de configuration reçu ;
- interaction avec les différents modules fonctionnels (plug-ins) ;
- captures d'écran ;
- recherche dans le système infecté de clés privées.
Pour échanger les données avec le serveur, BackDoor.Yebot utilise le protocole HTTP standard et son protocole binaire. Les serveurs de gestion du Trojan possèdent des paramètres dits « paranoïdes » : par exemple, ils peuvent ajouter une adresse IP à une liste noire si la requête reçue de cette adresse est incorrecte ou si cette adresse IP a envoyé trop de requêtes.
Les spécialistes de Doctor Web supposent que BackDoor.Yebot peut être utilisé comme un Trojan bancaire : ce Trojan est multifonction et il peut interagir avec d'autres plug-ins. Les signatures de BackDoor.Yebot et de Trojan.Siggen6.31836 ont été ajoutées aux bases virales Dr.Web et ces Trojans ne représentent aucune menace pour les utilisateurs des logiciels Dr.Web.
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments