Revue hebdomadaire BitDefender – Le nouveau membre de la dynastie Cutwail

Une fois le cheval de Troie exécuté sur le système, il crée des copies de lui-même dans les dossiers %SYSTEMROOT%\System32 et %HOMEPATH%\%USERNAME% sous le nom de reader_s.exe. Il s’ajoute également à la liste des programmes exécutés à chaque démarrage de Windows et déploie d’autres composants afin de permettre l’accès à distance à la machine infectée.

Le composant backdoor de Trojan.Cutwail.Z lui permet d’être automatiquement mis à niveau par son « maître » à distance sur Internet. La famille Cutwail est extrêmement prolifique et chaque nouvelle variante du cheval de Troie inclut des caractéristiques différentes.

La famille Cutwail, également connue sous le nom de Pushdo, est à l’origine de l’un des plus grands botnets actifs. Le nombre total de systèmes « zombifiés » est impressionnant – ils sont utilisés principalement pour envoyer des messages de spam, mais Cutwail ne se limite pas à cela. D’autres variantes du cheval de Troie téléchargent même des fichiers malveillants de tiers qu’elles installent sur la machine déjà infectée.

Les infections Cutwail étant extrêmement difficiles à détecter (le seul symptôme apparent est une activité Internet plus importante), nous vous recommandons d’analyser régulièrement votre système avec une solution antimalware mise à jour.

Article réalisé grâce à l’aimable contribution de Marius Vanta, spécialiste BitDefender des virus informatiques.