Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Revue sur les malwares : Trojan.Renos.PGZ, petite merveille multifonction

Auteur : Loredana Botezatu Date : 06/18/2010

Le malware qui invite tous ses amis à se joindre à la fêteTrojan.Renos.PGZ est un cheval de Troie, un téléchargeur et, parfois, un faux antivirus.

Cette stratégie multitâche semble être une approche couramment adoptée par les cybercriminels actuellement, puisqu’elle génère bien plus de revenus qu’un malware ciblé.

Le Cheval de Troie, membre de la famille Renos, se connecte à certains sites web afin de télécharger et d’exécuter des fichiers malveillants sur l’ordinateur compromis.

Et par code malveillant, j’entends les chevaux de Troie, les adwares, les spywares, les faux antivirus, les vers, c’est-à-dire toute charge utile connue.

Mais commençons par le commencement : Trojan.Renos.PGZ se propage sur l’ordinateur des victimes en créant des processus « inhabituels » tels que kgl.exe, kgj.exe, kgk.exe qui peuvent apparaître dans le Gestionnaire des tâches.

De plus, les modifications de fichiers et du registre suivantes ont lieu :

- Trois fichiers créés de façon aléatoire dans %TEMP% et nommés [3 lettres aléatoires].exe ;
- Deux fichiers de tâches dans C :\Windows\dossier Tasks (8C3FDD81-7AE0-4605-A46A-2488B179F2A3.job et 35DC3473-A719-4d14-B7C1-FD326CA84A0C.job) qui exécuteront les chevaux de Troie téléchargés à chaque démarrage de Windows
- Ajout des fichiers suivants au Registre Windows qui s’assureront que le malware commencera à « fonctionner » à chaque démarrage du système : c :\Windows\system32\sshnas21.dll, HKLM\SYSTEM\ControlSet001\Services\SSHNAS\Parameters\ServiceDll-> C :\WINDOWS\system32\sshnas21.dll, HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[10 lettres et chiffres aléatoires] -> %TEMP%\[3 lettres aléatoires].exe.

Les paramètres de sécurité d’Internet Explorer® sont également changés, facilitant ainsi l’accès du code malveillant à l’ordinateur compromis.
Les valeurs suivantes du registre sont modifiées afin de contourner le pare-feu :

- HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet -> 0x00000001
- HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect -> 0x00000001
- HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass -> 0x00000001
- HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName -> 0x00000001

Les domaines auxquels ce cheval de Troie se connecte afin de récupérer du code malveillant utilisent des mots-clés de films, d’arts, d’achats et de sports.

Soyez donc particulièrement attentifs lorsque vous faites pointer votre navigateur vers de telles destinations et, surtout, veillez à disposer d’une suite de sécurité à jour.

Article réalisé grâce aux découvertes du spécialiste BitDefender des virus informatiques, Andrea Takacs.

Source : malwarecity.fr