Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un dangereux Backdoor menace les utilisateurs Windows

le 23 mars 2015

Les spécialistes de Doctor Web ont terminé l'analyse du Trojan backdoor ciblant Windows. Le malware, baptisé BackDoor.Yebot, peut exécuter plusieurs fonctions, y compris lancer son serveur FTP proxy, rechercher des données sur commande des pirates, enregistrer les frappes clavier (keylogging), faire des captures d'écran et les envoyer à un serveur distant.

BackDoor.Yebot se propage à l'aide d'un autre logiciel malveillant, ajouté à la base virale Dr.Web sous le nom Trojan.Siggen6.31836. Lancé sur la machine infectée, il injecte son code dans les processus svchost.exe, csrss.exe, lsass.exe et explorer.exe, puis ayant envoyé la requête au serveur distant, il télécharge et décrypte le Trojan BackDoor.Yebot, le configure dans la mémoire et lui cède la gestion. Le Trojan.Siggen6.31836 a également une particularité : certaines fonctions de ce malware sont cryptées (elles seront décryptées au moment de l'exécution ; pour ce faire, le Trojan réserve la mémoire qui sera automatiquement libérée après l'exécution du code). Ce malware peut également vérifier la présence, sur le système infecté, d’une machine virtuelle et éviter le Contrôle de compte d'utilisateur (User Accounts Control, UAC).

BackDoor.Yebot possède les fonctionnalités suivantes :

  • lancement d’un serveur proxy FTP sur l'ordinateur infecté ;
  • lancement d’un serveur proxy Socks5 sur l'ordinateur infecté ;
  • modification du protocole RDP pour fournir l'accès distant à l'ordinateur infecté ;
  • enregistrement des frappes clavier (keylogging) ;
  • possibilité de communiquer avec un PC infecté via FTP, RDP et Socks5, si le réseau utilise NAT (backconnect) ;
  • interception des données PCRE (Perl Compatible Regular Expressions) - la bibliothèque qui réalise les expressions régulières dans l'environnement Perl. Pour ce faire, le Trojan intercepte toutes les fonctions possibles liées au travail sur Internet ;
  • intercepter les tokens SCard ;
  • exécuter des injections web, c'est-à dire intégrer un code parasite dans les pages web consultées par l'utilisateur ;
  • intercepter diverses fonctions système, en fonction du fichier de configuration reçu ;
  • modification du code du processus lancé en fonction du fichier de configuration reçu ;
  • interaction avec les différents modules fonctionnels (plug-ins) ;
  • captures d'écran ;
  • recherche dans le système infecté de clés privées.

Pour échanger les données avec le serveur, BackDoor.Yebot utilise le protocole HTTP standard et son protocole binaire. Les serveurs de gestion du Trojan possèdent des paramètres dits « paranoïdes » : par exemple, ils peuvent ajouter une adresse IP à une liste noire si la requête reçue de cette adresse est incorrecte ou si cette adresse IP a envoyé trop de requêtes.

Les spécialistes de Doctor Web supposent que BackDoor.Yebot peut être utilisé comme un Trojan bancaire : ce Trojan est multifonction et il peut interagir avec d'autres plug-ins. Les signatures de BackDoor.Yebot et de Trojan.Siggen6.31836 ont été ajoutées aux bases virales Dr.Web et ces Trojans ne représentent aucune menace pour les utilisateurs des logiciels Dr.Web.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg