Jul
08
Classé sous:
HISTOIRE DE MALWARE
Revue hebdomadaire des Malwares - Trojan.Spy.Banker.ABGS
08 juillet 2010
Ecrit en Delphi et empaqueté avec Aspack et Themida, Trojan.Spy.Banker.ABGS se cache derrière une fausse icôneInternet Explorer
Première Etape – La surveillance
Ce Trojan est plutôt malin, et sait se protéger lui-même. Une fois qu'il est exécuté par l'utilisateur imprudent, sa première action est de vérifier si SoftICE est en cours d'exécution sur l'ordinateur. Car si SoftICE est installé, l'ordinateur ne pourra pas être infecté. Conçu pour fonctionner sous la couche Windows, SoftICE est en effet une application de débogage qui est capable de suspendre toutes les opérations dans Windows y compris les malwares, Le Trojan Banker est prudent.
Deuxième étape : l’installation
Si SoftICE n’est pas installé sur le système, l'infection est lancée : le logiciel malveillant crée un fichier appelé megatron.ini qui est placé dans le dossier système qui stocke les paramètres du Banker. Par la suite, le Banker se duplique dans le dossier %SYSTEM%\imglog.exe, ce qui signifie l’infection concrète du système.
Le Trojan ajoute imglog.exe% System% \ au démarrage en créant une nouvelle entrée sous HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.
L'exécutable infecté (C: \ WINDOWS \ system32 \ imglog.exe) prend alors la dénomination SymantecFilterCheck.
De plus, une autre clé de registre est créée: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ User Agent \ Post Platform.
Troisième étape : établir le contact avec le créateur
Trojan.Spy.Banker.ABGS envoie un e-mail à son géniteur en utilisant smtp.tutopia.com.br comme passerelle de messagerie. Ce message signale l’infection et prévient que l’ordinateur touché fait donc maintenant partie du système frauduleux mis en place.
Quatrième étape : nettoyer l’ordinateur
Le Trojan part ensuite à la recherche des autres logiciels malveillants qui pourraient se cacher sur le système afin de les renommer (par exemple: SSH2.dll, gbieh.gmd, gbiehcef.dll.) pour les empêcher d'être initialisés au démarrage du système.
Pour ce faire Trojan.Spy.Banker.ABGS utilise un fichier texte, déguisé sous la forme d’une DLL, qui contient les noms de fichiers qui doivent être examinés et renommés.
Cinquième étape : la touche finale !
Pendant qu’il est opérationnel, le virus recherche la présence d’un cas d’exécution d’Internet Explorer utilisant le protocole DDE (Dynamic Data Exchange). S’il en trouve un, le Trojan recherche les URL bancaires qu’il doit surveiller et affiche une fausse page web, identique à celle de la page d’accueil de la banque en question. Naturellement, si l’internaute s’y connecte, ses identifiants seront directement envoyés au pirate.
Ce n’est un secret pour personne, les Trojan de type bancaire proviennent principalement du Brésil et Trojan.Spy.Banker.ABGS ne fait pas exception à la règle.
Les informations techniques contenues dans cet article nous sont aimablement fournies par le chercheurs Robert Szasz.
Copyright 2011. Proposé par Bitdefender