Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un nouveau bot IRC propage du spam via les messageries instantanées

Le 24 mai 2012

Un nouveau bot IRC, BackDoor.IRC.IMBot.2 se propage. Comme les autres versions de la même famille, ce bot est capable d'envoyer du spam via les messageries instantanées, de télécharger et de lancer des fichiers exécutables ainsi que d’exécuter les commandes d’un serveur distant pour lancer des attaques DDoS.

Il existe un grand nombre de modifications des trojans utilisant le protocole IRC (Internet Relay Chat) permettant d’effectuer un échange de messages en temps réel. De plus en plus de nouvelles versions des bots IRC apparaissent. Le BackDoor.IRC.IMBot.2, néanmoins, se différencie des autres versions de la même catégorie.

BackDoor.IRC.IMBot.2 se propage de la même façon que les autres bot IRC: il sauvegarde une copie de lui-même sur les périphériques amovibles sous le nom d’usb_driver.com et crée un fichier autorun.inf dans le répertoire racine du disque, ceci lui permettant de lancer le trojan lorsque le périphérique est lancé (sauf si cette fonctionnalité a été bloquée auparavant sur le PC).

Après son lancement dans le système infecté, BackDoor.IRC.IMBot.2 sauvegarde une copie de lui-même dans le dossier d’installation Windows et modifie la branche de la base de registre relatif à l’autodémarrage des applications. BackDoor.IRC.IMBot.2 modifie également les configurations du pare-feu Windows pour établir une connexion Internet.

Le trait caractéristique de ce bot est le mécanisme de recherche des processus portant les noms dumpcap, SandboxStarter, tcpview, procmon, filemon. Suite à son lancement sur le PC de l’utilisateur, le trojan s’adresse à la branche de la base du registre HKEY_PERFORMANCE_DATA relatif à la performance du PC et recherche, avec l’aide des compteurs de performance, les processus lancés dans le système. Cet algorithme est particulièrement intéressant car il n’a pas encore été utilisé dans les programmes malveillants de cette famille.

BackDoor.IRC.IMBot.2 est capable de télécharger et de lancer les fichiers exécutables sur le PC infecté, de propager du spam dans les messageries instantanées MSN Messenger, AOL Instant Messenger, Yahoo! Messenger, et de lancer des attaques DDoS sur commande du serveur distant. La signature de la menace a été ajoutée aux bases virales Dr.Web.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg