May
14
Classé sous:
DIVERS
De la réception d’une pièce jointe à l’installation d’un faux antivirus
14 mai 2010
Comment une simple pièce jointe à un e-mail ouvre la voie à des chevaux de Troie et à de faux antivirus sur des PC non protégés.
L’injection de la dll dans le processus svchost.exe est suivie de la suppression du cheval de Troie . Afin de s’assurer d’être lancé à chaque démarrage du système, le cheval de Troie modifie la clé de registre suivante : [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell = Explorer.exe rundll32.exe random_dll random_api – où random_dll et random_api se présentent sous la forme d’une chaîne aléatoire de caractères telle que pgsb.lto csxyfxr.
Le composant de téléchargement est sa charge utile : l’injecteur de dll tente de se connecter à une liste spécifique d’URL, généralement hébergées en Russie, à partir d’où il récupère et installe automatiquement un deuxième malware - Trojan.Downloader.ABBL. Dès que le nouveau téléchargeur est parvenu à infecter le système, il ouvre la porte à une fausse solution de sécurité présentée comme étant Security Essentials 2010 et détectée par BitDefender® sous le nom de Trojan.FakeAV.KZD. 
Informations de cet article disponibles grâce à l'aimable contribution d’Ovidiu Vişoiu, spécialiste BitDefender des virus informatiques
Trojan.Dropper.Oficla.O se diffuse généralement via une pièce jointe d’e-mail se faisant passer pour un document Word de Microsoft® Office® Word pour ne pas éveiller de soupçons. Une fois exécuté, Trojan.Dropper.Oficla.O dépose un fichier dll (bibliothèque de liens dynamiques) dans le dossier %temp% qui sera ensuite également copié dans le dossier %system% sous un nom aléatoire tel que pgsb.lto (détecté sous le nom de Gen:Variant.Oficla.2).
L’injection de la dll dans le processus svchost.exe est suivie de la suppression du cheval de Troie . Afin de s’assurer d’être lancé à chaque démarrage du système, le cheval de Troie modifie la clé de registre suivante : [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell = Explorer.exe rundll32.exe random_dll random_api – où random_dll et random_api se présentent sous la forme d’une chaîne aléatoire de caractères telle que pgsb.lto csxyfxr.
Le composant de téléchargement est sa charge utile : l’injecteur de dll tente de se connecter à une liste spécifique d’URL, généralement hébergées en Russie, à partir d’où il récupère et installe automatiquement un deuxième malware - Trojan.Downloader.ABBL. Dès que le nouveau téléchargeur est parvenu à infecter le système, il ouvre la porte à une fausse solution de sécurité présentée comme étant Security Essentials 2010 et détectée par BitDefender® sous le nom de Trojan.FakeAV.KZD.
Une fois que le faux logiciel antivirus a bien été installé, d’autres modifications sont apportées au registre afin que le filtre anti-phishing d’Internet Explorer et que le Gestionnaire des tâches de Windows soient désactivés (afin d’éviter que l’utilisateur ne tue le processus). De plus, le rogue s’exécute automatiquement à chaque démarrage de Windows.
Pour profiter d’Internet en toute sécurité, BitDefender vous recommande de télécharger, d’installer et de mettre à jour régulièrement une suite antimalware complète avec des modules antivirus, antispam, antiphishing et pare-feu. Soyez également méfiants lorsqu’on vous demande d’ouvrir des fichiers provenant d’emplacements inconnus.
Informations de cet article disponibles grâce à l'aimable contribution d’Ovidiu Vişoiu, spécialiste BitDefender des virus informatiques
Copyright 2011. Proposé par Bitdefender