Le 18 février 2016

Aujourd’hui, on connait beaucoup de logiciels malveillants conçus pour charger sur l'ordinateur contaminé d'autres applications dangereuses, ainsi que pour exécuter des commandes à distance. Un backdoor, détecté par les analystes de Doctor Web au mois de février 2016, possède un certain nombre de particularités qui le distinguent des malwares de ce type.

Ce programme malveillant classé comme BackDoor.Andromeda.1407 est propagé en utilisant un autre Trojan downloader — Trojan.Sathurbot.1, également connu sous le nom " Hydra ". BackDoor.Andromeda.1407 est conçu principalement pour exécuter les commandes provenant des criminels notamment pour télécharger et installer d'autres logiciels malveillants.

A son lancement, le backdoor vérifie la présence de la clé "/test" dans la ligne de commande, et s'il la trouve, affiche sur la console le message suivant " \n Test - OK " puis il termine son fonctionnement. Sans doute, cette fonctionnalité a été prévue par les auteurs de virus pour tester différents logiciels packers. Puis le Trojan tente de vérifier si tournent sur l'ordinateur des machines virtuelles, des applications de surveillance de processus ou de suivi de consultations de la base de registre ou certains autres logiciels de débogage. Si le backdoor détecte un programme pouvant être dangereux pour son fonctionnement, il passe en mode veille infinie.

A l’étape suivante, BackDoor.Andromeda.1407 obtient l’identifiant de volume du disque dur, qu'il utilise activement notamment lors de la génération de variables d'environnement ou dans les messages envoyés au serveur de contrôle. Immédiatement après son lancement, le backdoor essaie de s'injecter dans un nouveau processus et de terminer le processus initial. Si le programme malveillant arrive à s'intégrer au processus sélectionné, il reçoit des informations sur la machine contaminée y compris le type de l'OS (32 ou 64-bits), sa version, les droits de l'utilisateur actuel et la configuration du clavier. S’il détecte des configurations de clavier russe, ukrainienne, biélorusse ou kazakh (sous Windows), il termine son fonctionnement et se supprime du système automatiquement.

Puis BackDoor.Andromeda.1407 tente de déterminer l'heure qu’il est et envoie des requêtes aux serveurs europe.pool.ntp.org, north-america.pool.ntp.org, south-america.pool.ntp.org, asia.pool.ntp.org, oceania.pool.ntp.org, africa.pool.ntp.org, pool.ntp.org. Dans le cas où il n'arrive pas à recevoir une réponse des ressources listées, il demande l'heure système. La valeur de temps est activement utilisée par les plug-ins du Trojan durant son fonctionnement. Le backdoor désactive ensuite l'affichage des notifications système dans la configuration de Windows, il arrête également et désactive certains services système en fonction de la version de l'OS.

Sous Windows 8 ou supérieur, le Trojan continue à fonctionner avec les privilèges de l'utilisateur actuel, sous Windows 7, il essaie d'augmenter ses privilèges en utilisant des méthodes connues. De plus, sous Windows 7, le BackDoor.Andromeda.1407 désactive le mécanisme UAC (contrôle de compte utilisateur ou User Accounts Control).

Mais ce n'est pas encore la fin l'installation du Trojan dans le système : il désactive l'affichage des fichiers masqués dans l'Explorateur puis il consulte l'un après l'autre quelques dossiers système et les dossiers du profil de l'utilisateur actuel, en essayant de déterminer lequel d'entre eux est ouvert en écriture. Lorsqu'il en détecte un, il y copie l’injecteur du Trojan portant un nom aléatoire, puis les attributs " système " et " masqué " sont assignés à ce fichier exécutable pour le cacher à l'utilisateur, l'heure de sa création est également modifiée. Enfin, BackDoor.Andromeda.1407 modifie les branches de la base de registre Windows, en assurant ainsi le démarrage automatique du module principal de ce programme malveillant.

Le backdoor interagit avec le serveur de contrôle à l'aide d'une clé spéciale cryptée, les adresses des nœuds de commande sont stockées dans le corps du Trojan sous format également cryptée. Pour connaître l'adresse IP de l'ordinateur contaminé, BackDoor.Andromeda.1407 se connecte aux serveurs microsoft.com, update.microsoft.com, bing.com, google.com et yahoo.com. Le transfert d'informations est effectué en utilisant le format d'échange de données JSON (JavaScript Object Notation) sous forme cryptée. C'est ainsi que le backdoor peut recevoir des directives des criminels et entre autres, des commandes pour le téléchargement d'autres plug-ins, le téléchargement et lancement de fichiers exécutables, la mise à jour du Trojan, la suppression de plug-ins depuis le système contaminé ou la désinstallation du programme malveillant.

Actuellement, les analystes de Doctor Web ont détecté que BackDoor.Andromeda.1407 télécharge et lance sur les ordinateurs contaminés des applications malveillantes comme le Trojan.Encoder.3905, le Trojan bancaire Trojan.PWS.Panda.2401, les Trojans Trojan.Click3.15886, BackDoor.Siggen.60436, Trojan.DownLoader19.26835 et beaucoup d'autres. Le logiciel antivirus Dr.Web détecte et éradique BackDoor.Andromeda.1407.

Plus d'infos sur ce Trojan