Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un nouveau Trojan envoie du spam via la messagerie

Le 3 juin 2015

Les chercheurs de Doctor Web découvrent et ajoutent régulièrement à la base virale beaucoup de logiciels malveillants conçus pour envoyer du spam via la messagerie. Cependant, le nouveau Trojan, baptisé Trojan.Proxy.27552, possède certaines particularités.

En premier lieu, l'étape d'installation du Trojan dans le système infecté. le logiciel malveillant essaie de créer ses copies dans le dossier système C:\Windows\System32 avec les noms сsrss.exe, svchost.exe et rundll32.exe, malgré le fait que ce répertoire contient déjà un fichier original avec le nom сsrss.exe. Pour résoudre ce problème technique, le Trojan recherche le processus portant ce nom d’après son chemin complet et tente de l'arrêter. Si le Trojan possède suffisamment de privilèges pour effectuer cette action (le fichier exécutable du malware est lancé via le compte administrateur, les privilèges de débogage sont disponibles), l'arrêt du processus сsrss.exe causera immédiatement la chute de l'OS Windows avec l'affichage d’un BSOD (" écran bleu de la mort ").

En cas de faille, Trojan.Proxy.27552 crée trois fichiers portant les noms сsrss.exe, svchost.exe et rundll32.exe dans le dossier %APPDATA% et modifie le registre système afin d'assurer son auto démarrage. Dans Windows XP, le Trojan peut parfois s’installer dans le fichier <SYSTEM32>\rundll32.exe, cependant dans ce cas, l'utilisateur peut restaurer le fichier original depuis la sauvegarde en utilisant l'utilitaire standard de restauration de fichiers endommagés et disparus SFC. Au prochain démarrage du système, les trois logiciels créés par le Trojan seront lancés automatiquement.

Après son lancement, Trojan.Proxy.27552 vérifie la présence d’une connexion Internet en établissant une connexion aux serveurs smtp.gmail.com:25 et plus.smtp.mail.yahoo.com:25. En cas de problèmes avec la connexion, le Trojan s'arrête. Si la connexion Internet fonctionne, le logiciel malveillant essaie d'obtenir du serveur distant (dont les adresses sont stockées dans le corps du Trojan) la liste actualisée des adresses IP des serveurs de gestion. Le Trojan compare les listes obtenues et supprime les adresses réseau locales puis il établit une liste finale des serveurs de gestion et enregistre ces données dans le registre système Windows, qu'il utilise comme stockage de données.

screen

Le Trojan actualise la liste des serveurs de gestion, surveille (et si nécessaire restaure) l'état de la branche du registre responsable de l'auto démarrage du Trojan.Proxy.27552, et garantit les fonctionnalités du serveur backconnect-proxy. La connexion avec les serveurs de gestion est organisée de telle manière qu'ils forcent les systèmes infectés à conserver la connexion active pendant un délai spécifié.

La fonctionnalité principale du Trojan.Proxy.27552 consiste à envoyer du spam via un serveur de spam distant. Il est à noter que les liens dans ces messages mènent vers des sites web piratés. Par exemple, si une ressource neutre se trouve à l'adresse dont le lien est placé dans le message publicitaire :

screen

…lorsque l'utilisateur clique sur ce lien, il sera redirigé automatiquement vers une autre page web :

screen

La signature de ce malware a été ajoutée aux bases virales Dr.Web, c'est pourquoi le Trojan.Proxy.27552 ne représente aucun danger pour les utilisateurs des logiciels antivirus Dr.Web.

Plus d'infos sur cette menace

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg