Win32.Xorer.EK – Une menace discrète et bien pensée

Si vous pensiez avoir tout vu en termes d’infection de malwares, détrompez-vous: il existe un nouveau virus qui n’infecte pas vos fichiers binaires, mais les engloutit tous.

Win32.Xorer.EK est une e-menace extrêmement discrète qui, une fois sur l’ordinateur, vous oblige constamment à visiter certains sites Internet. Contrairement à ses pairs, qui corrompent et détruisent d’autres fichiers, cette menace ajoute l’exécutable-cible à elle-même, comme le montre le schéma ci-dessous :

De plus, afin d’éviter toute suspicion de l’utilisateur, elle utilise tout simplement l’icône de l’application légitime. Les seuls symptômes permettant de détecter l’infection sont les suivants :

•    La présence d’un fichier « .pif » ajouté dans documents and settings\[nom de l’utilisateur]\Menu Démarrer\Programmes\Démarrage

•    La présence d’un fichier caché nommé « pagefile.pif » et d’un fichier autorun.inf à l’intérieur des répertoires racines des lecteurs, pointant vers lui

•    Une légère augmentation de la taille du fichier (environ 64 kilo-octets de code supplémentaire)

•    Tout signe de ralentissement ou d’affichage forcé de publicités à l’intérieur du navigateur Internet Explorer®.Lorsqu’il s’exécute pour la première fois, le fichier dépose l’hôte original (l’application saine) en tant que fichier caché et le nomme [nom du fichier original].~tmp.

Pendant l’infection de l’hôte, le virus tente de se copier à l’intérieur de %system%\drivers\lsass.exe. S’il y parvient, il exécute cette copie et poursuit son exécution. S’il échoue lors de la création de la copie, il considère qu’il a déjà infecté le système et est actif en mémoire. La routine d’infection de Win32.Xorer.EK débute alors.
 
Win32.Xorer.EK crée 4 programmeurs internes qui exécutent différentes fonctions après un certain laps de temps :

•    Le premier s’exécute toutes les secondes et vérifie constamment l’existence de Documents and settings\[nom de l’utilisateur]\ Menu Démarrer\Programmes\Démarrage \~.pif qui est une copie du virus. S’il ne trouve pas le fichier, il le crée de nouveau immédiatement.
De plus, une nouvelle copie de lui-même est créée à l’intérieur de la racine sous le nom de « pagefile.pif » avec un fichier autorun.inf pointant vers elle. Le premier programmeur agit comme un processus de surveillance s’assurant que le virus n’a pas été supprimé du système.

•    Le deuxième, qui s’exécute toutes les 15 secondes, recherche une fenêtre ayant « IEFrame » comme nom de classe afin de rediriger le navigateur vers des sites publicitaires et malveillants

•    Le troisième, qui s’exécute toutes les deux heures et demie – effectue les mêmes tâches que le 2ème avec une fonction supplémentaire : il ouvre un nouveau processus d’Internet Explorer® le redirigeant vers des sites publicitaires et malveillants
•    Le 4ème, qui s’exécute toutes les minutes, est une sorte de sauvegarde du 3ème puisqu’il a le même rôle.

L’Histoire nous enseigne que les virus sont loin d’être sympathiques. Conçus pour compromettre et détruire des données, ils peuvent même rendre les systèmes inutilisables. Win32.Xorer.EK associe les mécanismes de propagation des vers à la discrétion des chevaux de Troie, prouvant ainsi que les e-menaces sont en constante évolution !