Revue hebdomadaire sur les malwares : les supports amovibles, version moderne de la boîte de Pandore

Et bien qu’il apparaisse en cours d’exécution dans le Gestionnaire des Tâches, il ne peut pas être terminé en tuant simplement le processus de la liste.

 

De plus, le cheval de Troie est difficile à localiser car il désactive l’option d’affichage des fichiers masqués dans Windows Explorer. Il crée deux copies de lui-même avec des extensions de fichiers différentes : « .exe » et  «.scr », tout en conservant un nom généré auparavant. Il réalise également des copies de lui-même portant des noms aléatoires dans le dossier « %Documents and settings% ». Afin de s’exécuter plusieurs fois, Chinky génère une clé de registre dans HKCU\Software\Microsoft\ Windows\CurrentVersion\ Run\%Nom aléatoire% avec la valeur %Documents and settings% \%UserName% \%Nom aléatoire%.exe.

Tout comme d’autres malwares récents, Trojan.VB.Chinky.U intègre également un ver qui lui permet de se diffuser via des disques flash et d’autres supports, tels que les disques durs externes et même, des lecteurs mappés du réseau.

Le composant « autorun.inf » permet l’exécution du fichier « .exe » et transforme également l’icône du disque amovible infecté en une icône de dossier standard. Six fichiers de raccourcis pointant vers le fichier « .scr » sont créés et apparaissent sur le disque amovible avec différents noms et icônes : « New Folder » (Nouveau Dossier), « Passwords » (Mots de passe), « Documents », « Music » (Musique), « Video », et « Pictures » (Photos).
       


Et ce n’est pas tout : le composant téléchargeur de Trojan.VB.Chinky.U télécharge et installe ensuite d’autres menaces informatiques sur le système infecté : backdoors, voleurs de mots de passe, faux antivirus et autres cadeaux empoisonnés.