Le 3 juin 2015

Les chercheurs de Doctor Web découvrent et ajoutent régulièrement à la base virale beaucoup de logiciels malveillants conçus pour envoyer du spam via la messagerie. Cependant, le nouveau Trojan, baptisé Trojan.Proxy.27552, possède certaines particularités.

En premier lieu, l'étape d'installation du Trojan dans le système infecté. le logiciel malveillant essaie de créer ses copies dans le dossier système C:\Windows\System32 avec les noms сsrss.exe, svchost.exe et rundll32.exe, malgré le fait que ce répertoire contient déjà un fichier original avec le nom сsrss.exe. Pour résoudre ce problème technique, le Trojan recherche le processus portant ce nom d’après son chemin complet et tente de l'arrêter. Si le Trojan possède suffisamment de privilèges pour effectuer cette action (le fichier exécutable du malware est lancé via le compte administrateur, les privilèges de débogage sont disponibles), l'arrêt du processus сsrss.exe causera immédiatement la chute de l'OS Windows avec l'affichage d’un BSOD (" écran bleu de la mort ").

En cas de faille, Trojan.Proxy.27552 crée trois fichiers portant les noms сsrss.exe, svchost.exe et rundll32.exe dans le dossier %APPDATA% et modifie le registre système afin d'assurer son auto démarrage. Dans Windows XP, le Trojan peut parfois s’installer dans le fichier <SYSTEM32>\rundll32.exe, cependant dans ce cas, l'utilisateur peut restaurer le fichier original depuis la sauvegarde en utilisant l'utilitaire standard de restauration de fichiers endommagés et disparus SFC. Au prochain démarrage du système, les trois logiciels créés par le Trojan seront lancés automatiquement.

Après son lancement, Trojan.Proxy.27552 vérifie la présence d’une connexion Internet en établissant une connexion aux serveurs smtp.gmail.com:25 et plus.smtp.mail.yahoo.com:25. En cas de problèmes avec la connexion, le Trojan s'arrête. Si la connexion Internet fonctionne, le logiciel malveillant essaie d'obtenir du serveur distant (dont les adresses sont stockées dans le corps du Trojan) la liste actualisée des adresses IP des serveurs de gestion. Le Trojan compare les listes obtenues et supprime les adresses réseau locales puis il établit une liste finale des serveurs de gestion et enregistre ces données dans le registre système Windows, qu'il utilise comme stockage de données.

Le Trojan actualise la liste des serveurs de gestion, surveille (et si nécessaire restaure) l'état de la branche du registre responsable de l'auto démarrage du Trojan.Proxy.27552, et garantit les fonctionnalités du serveur backconnect-proxy. La connexion avec les serveurs de gestion est organisée de telle manière qu'ils forcent les systèmes infectés à conserver la connexion active pendant un délai spécifié.

La fonctionnalité principale du Trojan.Proxy.27552 consiste à envoyer du spam via un serveur de spam distant. Il est à noter que les liens dans ces messages mènent vers des sites web piratés. Par exemple, si une ressource neutre se trouve à l'adresse dont le lien est placé dans le message publicitaire :

…lorsque l'utilisateur clique sur ce lien, il sera redirigé automatiquement vers une autre page web :

La signature de ce malware a été ajoutée aux bases virales Dr.Web, c'est pourquoi le Trojan.Proxy.27552 ne représente aucun danger pour les utilisateurs des logiciels antivirus Dr.Web.

Plus d'infos sur cette menace