May
12
Classé sous:
REVUE HEBDOMADAIRE
Revue hebdomadaire sur les malwares : Backdoor.Hamweq.Z
12 mai 2010
Le composant backdoor – la fonctionnalité préférée des cybercriminels cette semaine
Une fois exécuté, Backdoor.Hamweq.Z crée le répertoire « C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451 » où il place une copie de lui-même sous le nom de « games.exe » et dépose un fichier nommé « Desktop.ini », donnant ainsi au répertoire l’apparence de la corbeille ouverte. De plus, afin de masquer son comportement malveillant, Backdoor.Hamweq.Z injecte son code dans l’espace mémoire de « explorer.exe ».
Backdoor.Hamweq.Z crée également les clés de registre suivantes : « Taskman » dans « SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon » ; « Shell » dans « SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon »; « games » dans « Software\Microsoft\ Windows\CurrentVersion\Run », pointant toutes vers « C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe ».
Il ouvre ensuite une nouvelle connexion sur le port 8800 vers games.freeps3[supprimé].biz, qui permet à un attaquant distant d’accéder au composant backdoor et de prendre le contrôle de la machine infectée.
Les portes dérobées font partie des malwares les plus dangereux car elles donnent à des cybercriminels l’accès total aux ordinateurs des utilisateurs, aux données qu’ils contiennent ainsi que la possibilité de les manipuler en fonction de leurs besoins (par exemple, pour y installer d’autres logiciels, pour exporter des documents enregistrés localement, pour manipuler des sondages en ligne à partir de plusieurs IP ou même, pour lancer des attaques de type TCP/UDP contre des serveurs Internet).
Informations de cet article disponibles grâce à l'aimable contribution de George Cabău, spécialiste BitDefender des virus informatiques
Technique de diffusion : le backdoor se présente sous la forme d’une pièce jointe à un e-mail ou d’un fichier téléchargé directement sur l’ordinateur à partir d’un site web malveillant ou compromis.
Une fois exécuté, Backdoor.Hamweq.Z crée le répertoire « C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451 » où il place une copie de lui-même sous le nom de « games.exe » et dépose un fichier nommé « Desktop.ini », donnant ainsi au répertoire l’apparence de la corbeille ouverte. De plus, afin de masquer son comportement malveillant, Backdoor.Hamweq.Z injecte son code dans l’espace mémoire de « explorer.exe ».
Backdoor.Hamweq.Z crée également les clés de registre suivantes : « Taskman » dans « SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon » ; « Shell » dans « SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon »; « games » dans « Software\Microsoft\ Windows\CurrentVersion\Run », pointant toutes vers « C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe ».
Il ouvre ensuite une nouvelle connexion sur le port 8800 vers games.freeps3[supprimé].biz, qui permet à un attaquant distant d’accéder au composant backdoor et de prendre le contrôle de la machine infectée.
Les portes dérobées font partie des malwares les plus dangereux car elles donnent à des cybercriminels l’accès total aux ordinateurs des utilisateurs, aux données qu’ils contiennent ainsi que la possibilité de les manipuler en fonction de leurs besoins (par exemple, pour y installer d’autres logiciels, pour exporter des documents enregistrés localement, pour manipuler des sondages en ligne à partir de plusieurs IP ou même, pour lancer des attaques de type TCP/UDP contre des serveurs Internet).
Afin de profiter d’Internet en toute sécurité, BitDefender vous recommande d’installer et de mettre à jour régulièrement une suite antimalware avec des modules antivirus, antispam, anti-phishing et pare-feu.
Informations de cet article disponibles grâce à l'aimable contribution de George Cabău, spécialiste BitDefender des virus informatiques
Copyright 2011. Proposé par Bitdefender