Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un nouveau Backdoor menace les utilisateurs Windows.

le 8 avril 2015

Les spécialistes de Doctor Web ont examiné l’échantillon d'un nouveau logiciel malveillant qui peut exécuter des commandes ainsi qu'envoyer au serveur de gestion des captures d'écran. Le backdoor peut vérifier la présence de machines virtuelles ainsi que d’un logiciel antivirus.

Le Trojan baptisé VBS.BackDoor.DuCk.1, est écrit en Visual Basic Script et est distribué comme un raccourci avec l'extension .lnk, contenant un script VBS compressé. Si l'utilisateur clique sur le raccourci, le script VBS sera décompressé et sauvegardé comme un fichier séparé, puis il sera lancé.

Le Trojan VBS.BackDoor.DuCk.1 utilise un moyen très intéressant pour déterminer l'adresse du serveur de gestion. Au début du script VBS il y a trois liens : les deux vers des pages YouTube, et le troisième vers la page de Dropbox.

screen

Le Trojan envoie à ces ressources des requêtes GET et recherche dans la réponse l'expression spécifiée par les malfaiteurs: our (.*)th psy anniversary. La valeur trouvée est divisée par 31 337 — le résultat représente un chiffre qui dans le système hexadécimal correspond à l'adresse IP du serveur de gestion. Pour vérifier si le serveur est opérationnel, le Trojan envoie une requête GET spécifique et vérifie la présence d'une ligne " OKOKOK " dans la réponse.

VBS.BackDoor.DuCk.1 possède un mécanisme spécial pour vérifier la présence de machines virtuelles sur l'ordinateur infecté, ainsi que les processus des logiciels conçus pour surveiller le système d'exploitation. Le backdoor peut également identifier certains logiciels antivirus (et en cas de détection, il ne lance pas l'un de ces scripts).

Dans le répertoire de l'utilisateur Windows VBS.BackDoor.DuCk.1 crée un sous-dossier qu'il utilise pour son fonctionnement. Pour se masquer, le Trojan enregistre dans le dossier de fichiers temporaires le document vtoroy_doc.doc et l'affiche à l'utilisateur :

screen

Les spécialistes supposent qu'au début, les malfaiteurs voulaient utiliser la présentation PowerPoint, car le code du Trojan prévoit l'arrêt du processus de ce logiciel (si cette case est cochée), mais pour une raison quelconque, ils ont changé d'avis.

Pour faire des captures d'écran, le backdoor utilise sa bibliothèque. Les captures sont enregistrées dans le dossier temporaire comme des fichiers avec l'extension .tmp. A l'aide du fichier REG, le Trojan désactive les plug-ins du navigateur Microsoft Internet Explorer, et si le logiciel malveillant est lancé sur l'ordinateur sous Windows Vista, VBS.BackDoor.DuCk.1 peut désactiver dans le navigateur le mode « protected » en utilisant l'autre fichier REG. De plus, VBS.BackDoor.DuCk.1 assure son démarrage automatique en plaçant dans le dossier autorun le raccourci approprié :

screen

screen

Pour recevoir des commandes provenant du serveur de gestion, le Trojan envoie chaque minute une requête appropriée. VBS.BackDoor.DuCk.1 peut également télécharger sur l'ordinateur infecté d'autre logiciels malveillants ou envoyer au serveur de gestion des captures d'écran. Toutes les autres commandes sont envoyées par VBS.BackDoor.DuCk.1 à l'interpréteur de commandes CMD ou PowerShell. De plus, il peut lancer le script Python, dont les résultats de fonctionnement cryptés sont envoyés au serveur des pirates.

La signature de VBS.BackDoor.DuCk.1 a été ajoutée à la base virale Dr.Web, c'est pourquoi il ne représente aucun danger pour les utilisateurs des logiciels antivirus Dr.Web.

Plus d'infos sur cette menace

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg