Rapport hebdomadaire – De nouvelles menaces sur les jeux en ligne

Trojan.Downloader.JLQZ

Il s'agit d'un véritable cheval de Troie téléchargeur. Une fois exécuté, il essaie de télécharger un fichier à partir d'un site Internet. Si le téléchargement réussit, il enregistre le fichier en tant que  fichier système caché sous le nom de «  install.exe » dans le même répertoire que celui à partir duquel il a été lancé..

Après le téléchargement du fichier, un fichier batch au nom aléatoire est également créé. Son rôle est de supprimer le téléchargeur une fois la charge utile exécutée.

Trojan.Downloader.Small.ABFV

 Ce cheval de Troie appartient à la catégorie des « voleurs de mots de passe de jeux en ligne ».

Le logiciel UPX qui l'accompagne lui permet d'éviter d'être détecté par les produits de sécurité. Une fois exécuté, il crée un fichier dll dans %system% qui sera injecté dans chaque processus en cours d'exécution afin de trouver une application où voler des informations. Dans notre cas, ce fut  xy2.exe ou xy2_ex.exe appartenant au MMORPG chinois «  Westward Journey Online II ».

Il rassemble diverses informations telles que le nom d'utilisateur, le mot de passe, le client utilisé, le serveur, les noms et les niveaux du personnage etc. et les transmet à l'auteur du malware à travers différents scripts situés aux adresses suivantes :

http://dh2.ac[removed].cn/ZONGXXXOUT/post.asp
http://dh2.ac[removed].cn/GGGZ/xiaochang/post.asp

Il crée différentes clés de registre qui chargent ensuite la dll à chaque fois que le système démarre.

À la fin de son exécution, le malware crée un fichier batch qui supprime l'exécutable initial, laissant uniquement la dll dans le système.

 Article réalisé grâce à l'aimable contribution de  Lutas Andrei Vlad et Dana Stanut, spécialistes BitDefender des virus informatiques.