le 8 avril 2015

Les spécialistes de Doctor Web ont examiné l’échantillon d'un nouveau logiciel malveillant qui peut exécuter des commandes ainsi qu'envoyer au serveur de gestion des captures d'écran. Le backdoor peut vérifier la présence de machines virtuelles ainsi que d’un logiciel antivirus.

Le Trojan baptisé VBS.BackDoor.DuCk.1, est écrit en Visual Basic Script et est distribué comme un raccourci avec l'extension .lnk, contenant un script VBS compressé. Si l'utilisateur clique sur le raccourci, le script VBS sera décompressé et sauvegardé comme un fichier séparé, puis il sera lancé.

Le Trojan VBS.BackDoor.DuCk.1 utilise un moyen très intéressant pour déterminer l'adresse du serveur de gestion. Au début du script VBS il y a trois liens : les deux vers des pages YouTube, et le troisième vers la page de Dropbox.

Le Trojan envoie à ces ressources des requêtes GET et recherche dans la réponse l'expression spécifiée par les malfaiteurs: our (.*)th psy anniversary. La valeur trouvée est divisée par 31 337 — le résultat représente un chiffre qui dans le système hexadécimal correspond à l'adresse IP du serveur de gestion. Pour vérifier si le serveur est opérationnel, le Trojan envoie une requête GET spécifique et vérifie la présence d'une ligne " OKOKOK " dans la réponse.

VBS.BackDoor.DuCk.1 possède un mécanisme spécial pour vérifier la présence de machines virtuelles sur l'ordinateur infecté, ainsi que les processus des logiciels conçus pour surveiller le système d'exploitation. Le backdoor peut également identifier certains logiciels antivirus (et en cas de détection, il ne lance pas l'un de ces scripts).

Dans le répertoire de l'utilisateur Windows VBS.BackDoor.DuCk.1 crée un sous-dossier qu'il utilise pour son fonctionnement. Pour se masquer, le Trojan enregistre dans le dossier de fichiers temporaires le document vtoroy_doc.doc et l'affiche à l'utilisateur :

Les spécialistes supposent qu'au début, les malfaiteurs voulaient utiliser la présentation PowerPoint, car le code du Trojan prévoit l'arrêt du processus de ce logiciel (si cette case est cochée), mais pour une raison quelconque, ils ont changé d'avis.

Pour faire des captures d'écran, le backdoor utilise sa bibliothèque. Les captures sont enregistrées dans le dossier temporaire comme des fichiers avec l'extension .tmp. A l'aide du fichier REG, le Trojan désactive les plug-ins du navigateur Microsoft Internet Explorer, et si le logiciel malveillant est lancé sur l'ordinateur sous Windows Vista, VBS.BackDoor.DuCk.1 peut désactiver dans le navigateur le mode « protected » en utilisant l'autre fichier REG. De plus, VBS.BackDoor.DuCk.1 assure son démarrage automatique en plaçant dans le dossier autorun le raccourci approprié :

Pour recevoir des commandes provenant du serveur de gestion, le Trojan envoie chaque minute une requête appropriée. VBS.BackDoor.DuCk.1 peut également télécharger sur l'ordinateur infecté d'autre logiciels malveillants ou envoyer au serveur de gestion des captures d'écran. Toutes les autres commandes sont envoyées par VBS.BackDoor.DuCk.1 à l'interpréteur de commandes CMD ou PowerShell. De plus, il peut lancer le script Python, dont les résultats de fonctionnement cryptés sont envoyés au serveur des pirates.

La signature de VBS.BackDoor.DuCk.1 a été ajoutée à la base virale Dr.Web, c'est pourquoi il ne représente aucun danger pour les utilisateurs des logiciels antivirus Dr.Web.

Plus d'infos sur cette menace