Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un ensemble de Trojans donne aux cybercriminels un accès distant à des ordinateurs infectés

le 11 novembre 2015

Parmi les nombreux types de logiciels malveillants, il existe un groupe regroupant des applications qui ne sont pas dangereuses, mais que les malfaiteurs peuvent tout de même utiliser à des fins illégales. Cette catégorie de logiciels inclut des outils d'administration à distance qui peuvent être utilisés en toute légalité mais également de façon malveillante, pour contrôler à distance un ordinateur à l'insu de l'utilisateur. Les chercheurs de Doctor Web ont examiné un schéma d'attaque utilisant un outil d’administration à distance légitime.

Le package de malwares, baptisé BackDoor.RatPack, a été diffusé par les malfaiteurs à l'aide de l’exploit Exploit.CVE2012-0158.121 en tant que document RTF, contenant un fichier crypté malveillant. Il faut noter que ce fichier représente un installateur et possède une signature numérique valide (comme presque tous les fichier du package BackDoor.RatPack).

screen BackDoor.RatPack #drweb

A son lancement, l'installateur recherche la présence de machines virtuelles, de programmes de contrôle et de débogueurs, ainsi que la présence de logiciels de banque en ligne de certaines banques russes. Si toutes les recherches sont positives, l'installateur télécharge depuis un serveur distant et lance sur l'ordinateur infecté un autre installateur en NSIS (Nullsoft Scriptable Install System), qui contient un package de fichiers exécutables et plusieurs archives protégées par mot de passe. Cet installateur extrait les fichiers exécutables et les lance.

La charge utile de cet installateur porte la modification d’un programme shareware appelé Remote Office Manager — les chercheurs de Doctor Web ont détecté au moins 3 versions différentes de ce programme. En interceptant un certain nombre de fonctions système, le malware est capable de masquer les raccourcis de l’outil dans la zone de notification et dans la barre des tâches Windows, afin que l'utilisateur ne puisse pas détecter ce malware. Les spécialistes supposent que les malfaiteurs utilisent BackDoor.RatPack pour accéder aux données bancaires et à d’autres données confidentielles en contrôlant à distance la machine compromise.

Les fichiers malveillants inclus au BackDoor.RatPack sont répertoriés dans la base de données virales Dr.Web et ne représentent pas de danger pour les utilisateurs de nos produits antivirus.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg