Revue hebdomadaire BitDefender – Un backdoor transmis dans des faux e-mails de DHL

Trojan.FakeAV.VE

Cette e-menace vise à télécharger et à exécuter « Antivirus Pro 2010 », une application rogue qui se fait passer pour un logiciel de sécurité. L’installation s’effectue en deux temps. La menace commence d’abord par essayer de télécharger un fichier au nom aléatoire, à partir de plusieurs emplacements, qui est enregistré sous « "%user_documents%\Application Data\lizkavd.exe ». Le nouvel exécutable tente de se connecter à d’autres emplacements, à l’aide d’un nom et d’un mot de passe, et de télécharger une archive protégée par mot de passe. L’archive contient le malware Tojan.FakeAV.VH qui est installé ensuite dans %Programs%\AntivirusPro_2010.

Avant d’initier le processus de téléchargement, le malware se copie dans  %user_documents%\application data\svcst.exe et %user_documents%\application data\seres.exe. Ces deux copies sont lancées ensemble et se protègent l’une l’autre ; elles empêchent l’utilisateur de les terminer en utilisant deux mutex nommés.

Elles sont également enregistrées au démarrage du système grâce à des modifications de certaines clés de registre.
Cela réduit le niveau de sécurité en autorisant l’exécution de signatures non valides et en ajoutant certaines extensions à la liste d’extensions présentant un risque faible.

Enfin, le malware lance le processus de téléchargement en accédant à plusieurs adresses comme celles indiquées ci-dessous : hxxp://erta[removed]ert.com/s1fb0Uv5MS8X[removed] hxxp://abu[removed]hkamid.com/nQ1Zx0E5X8[removed]

Trojan.Generic.2581209

Le malware se diffuse via une archive zip jointe à un e-mail prétendant provenir de « DHL express services ».

Ce malware, appelé Glecia, ne peut pas se diffuser par lui-même, c’est pourquoi il a recours à une tierce partie pour envoyer du spam.

 
Voici à quoi ressemblent les e-mails reçus :
Objet : Services Express DHL. Veuillez retirer votre colis n° 56449

En-têtes :
De : "****" ****@dhl-usa.com
Objet : Services Express DHL. Veuillez retirer votre colis n° 56449

Corps de l’e-mail :
Cher client,

Nous n’avons pas pu livrer votre colis à votre adresse.
Cause : Erreur dans l’adresse de livraison

Vous pouvez venir retirer le colis dans nos bureaux !

Attention !
L’étiquette d’expédition est jointe à cet e-mail.
Veuillez l’imprimer pour retirer ce colis dans nos bureaux.

En vous remerciant pour votre attention,
Services DHL.

Pièces jointes :
DHL_print_label_582b9.zip (16,23Ko)
L’archive contient l’exécutable malveillant qui dépose un BHO (objet d’aide à la navigation) dans %SYSTEM%\bhdvgtueyitf.dll et l’enregistre sous le nom de « Microsoft Online Helper » ou « Google Accelerator! » avec le CLSID {CEE2864E-1144-4B8F-9A43-4CEAC4553560}.
L’exécutable crée et exécute ensuite un fichier batch appelé sys.bat afin de se supprimer.

Le BHO est un backdoor qui peut être utilisé par l’attaquant pour prendre le contrôle de l’ordinateur infecté. Une fois exécuté,  il essaie de se connecter à un domaine russe afin de recevoir plus d’instructions.

Celles-ci peuvent être les suivantes :

Envoyer des informations sur le système

Ouvrir une URL spécifique

Exécuter des fichiers

Supprimer tous les fichiers des dossiers racine, Windows et Program Files

Article réalisé grâce à l’aimable contribution d’Ovidiu Visoiu et d’Horea Coroiu, spécialistes BitDefender des virus informatiques.