Malware City/Blog/

Mar
02
Classé sous:
ALERTES

Revue hebdomadaire – Les systèmes non patchés sont menacés

02 mars 2009
Les infections par rootkits sont fréquentes aujourd'hui si vous ne patchez pas Windows. Cette semaine, les Laboratoires BitDefender ont découvert une menace informatique relativement nouvelle qui tente d'exploiter une vulnérabilité pour laquelle un patch existe depuis mi-avril 2006. Croyez-le ou non, elle infecte toujours des ordinateurs aujourd'hui !

Backdoor.Agent.AADK

 
Après s’être exécuté, il écrase le driver Windows non indispensable « beep.sys » avec un rootkit détecté par BitDefender sous le nom de Trojan.Rootkit.GGR et permet d’accéder à la table SSDT (tableau de descripteur de service).

Un second composant est déposé dans %windir%\system32 et est chargé en tant que service à chaque démarrage du système. Le service s’appelle « MS Media Control Center » et a la description suivante : « Permet la prise en charge de T*m*t*D.dll » (où * correspond à des caractères ASCII aléatoires). Cette DLL est détectée comme étant le Backdoor.PCClient.TEO.

La porte dérobée essaie de se connecter à awen667788.3322.org sur le port TPCP 1122 en envoyant des paquets de synchronisation et en attendant des commandes à distance et un nouveau fichier malware enregistré sous C:\1.exe.

 

 

Trojan.Downloader.JS.Psyme.SR

 

Ce cheval de Troie utilise du code VBScript et JavaScript pour télécharger et exécuter d’autres malwares sur les ordinateurs des utilisateurs. Il n'est pas exécuté à partir d'une page web, mais sur l'ordinateur infecté.

 

Il fait partie d’un ensemble d’exploits « drive-by » (comme le Trojan.Exploit.SSX - http://www.bitdefender.com/VIRUS-1000396-en--Trojan.Exploit.SSX.html) qui utilise des  vulnérabilités connues pour infiltrer des systèmes non patchés.  Celui-ci essaie d’exploiter une faille ActiveX MDAC à travers son CLSID BD96C556-65A3-11D0-983A-00C04FC29E36 afin de télécharger un fichier à partir de hxxp://?.weixk.com/[removed].css, lequel est détecté par BitDefender comme « Rootkit.Agent.AIWN ». Le fichier est enregistré sous %temp% avec le nom « GameeeEeee.pif ».

 

Ensuite, il crée un autre fichier VBScript avec le contenu suivant :

'I LOVE gameee TEAM'I LOVE gameee TEAM
Set Love_gameee = CreateObject("Wscript.Shell")'I LOVE gameee TEAM
'I LOVE gomeee TEAM'i LOVE gomeee TEAM
Love_gameee.run ("%Temp%\GameeeEeee.pif")
'I LOVE gameee TEAM'I LOVE gameee TEAM  

Le fichier exécutera le rootkit téléchargé comme objet shell.


Article réalisé grâce à l’aimable contribution d'Ovidiu Visoiu et de Daniel Chipiristeanu, spécialistes BitDefender des virus informatiques.





Autres articles

Commentez

Nom:

E-mail:

Site Internet:

Votre adresse e-mail ne sera pas publiée