Actualités High-tech et gadget Le Trojan.Spambot.11349 vole les mots de passe des comptes...

Le Trojan.Spambot.11349 vole les mots de passe des comptes utilisateurs des clients de messagerie

-

- Advertisment -

virus trojanDoctor Web annonce la propagation d’un programme malveillant avec un algorithme de fonctionnement assez intéressant, il s’agit du Trojan.Spambot.11349. Le danger de ce trojan consiste dans sa capacité à voler les données des comptes utilisateurs des clients de messagerie, notamment ceux de Microsoft Outlook et The Bat!, il transmet également aux malfaiteurs les données utilisées par la fonction d’autocompletion des formulaires (champs d’entrées) dans les navigateurs web.

Ce trojan se propage via un botnet de backdoors très répandu, Backdoor.Andromeda. Le Trojan.Spambot.11349 possède deux composants : un loader écrit en langage Delphi et une bibliothèque dynamique contenant un payload. Les fonctions de loader consistent à détourner le pare-feu et à installer le payload. Si le loader est lancé depuis un processus dont le nom ne contient pas « vcnost.e », le trojan élimine tous les processus contenant dans leurs noms svcnost, ensuite il se sauvegarde dans un des dossiers sur le disque dur sous le nom svcnost.exe et crée un lien correspondant dans les branches de la base de registre relatives à l’auto démarrage des applications.  Ensuite, le Trojan.Spambot.11349 lance une copie de lui-même et si cette copie s’exécute  en mode administrateur, le trojan apporte des modifications dans la base de registre afin de détourner le pare-feu Windows, il écrase le fichier hosts en bloquant l’accès de l’utilisateur à des sites d’éditeurs d’antivirus. Enfin, le loader enregistre la bibliothèque dynamique contenant un payload dans la mémoire vive de l’ordinateur puis c’est à elle d’agir.

A partir de là, la bibliothèque vérifie si sa copie est sauvegardée sur le disque, ensuite elle enregistre dans la base de registre  une valeur de 9 chiffres aléatoires, qui deviennent un identificateur du bot.  Le Trojan.Spambot.11349 sauvegarde la bibliothèque sur le disque pour pouvoir fonctionner avec SSL et la bibliothèque zlib, lui permettant de compresser toutes les lignes de ses commandes.  En même temps, une adresse IP parasite se trouve dans le champ HOST des requêtes envoyées par le bot, c’est là le trait caractérisant le Trojan.Spambot.11349 car il n’est pas courant qu’un trojan utilise des bibliothèques dynamiques différentes pour zlib et SSL.

Un autre trait distinctif du Trojan.Spambot.11349 est qu’il envoie une séquence de requêtes à des adresses IP générées par  un algorithme spécialisé selon  la liste des sous-réseaux contenue dans les ressources du trojan. Ensuite, le trojan se connecte à l’un des trois serveurs de gestion dont les adresses se trouvent dans la bibliothèque sous forme codée, qui lui envoie un fichier de configuration. Si le trojan réceptionne correctement le fichier, il compose une ligne de requête contenant les données volées des comptes utilisateurs Microsoft Outlook et The Bat!, cette demande est compressé par zlib et transmise au serveur de gestion. Lorsque l’OS est infecté, le trojan vérifie s’il peut se servir de l’ordinateur pour envoyer du spam, il cherche à envoyer des spams contenant des  symboles pris au hasard. Si l’envoi de spam est réussi, le trojan reçoit depuis le serveur de gestion des instructions pour d’autres envois. Au 24 avril, les messages spam du Trojan.Spambot.11349 étaient de la publicité pour le viagra.

La signature de cette menace est ajoutée aux bases virales Dr.Web.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Latest news

Facebook lance les avatars en Afrique subsaharienne : une nouvelle manière dynamique de s’exprimer en ligne

Les avatars comprennent des centaines de packs d'autocollants et des intégrations avec les fournisseurs de GIF JOHANNESBURG, Afrique du Sud,...

Orange et NSIA lancent Orange Bank Africa afin de démocratiser l’accès aux services financiers et renforcer l’inclusion financière des populations en Afrique de l’Ouest

ABIDJAN, Côte d'Ivoire, 23 juillet 2020/ -- Orange (www.Orange.com), acteur majeur des télécoms en Afrique et au Moyen Orient,...

Mozilla va dédier une filiale à Thunderbird pour poursuivre son développement.

soulagement et se réjouir d'un avenir prometteur, car ses dons ont inversé sa trajectoire précédemment vouée à l'échec,...

Le Sénégal bientôt doté d’un plan de développement du numérique actualisé ainsi que d’un cadre de mise en oeuvre

Les hauts cadres du ministère sénégalais de l'Économie numérique et des Télécommunications (MENT) sont réunis à Dakar,...
- Advertisement -

Free Money, le service de transfert d’argent dédié aux de client Free SENEGAL.

Free Money est le service de transfert d’argent dédié aux de client Free SENEGAL. L’utilisation du service...

Les 8 conseils pour vous aider à tirer le meilleur parti d’Instagram et d’augmenter vos abonnés.

Les 8 conseils pour vous aider à tirer le meilleur parti d’Instagram et d’augmenter vos abonnés.

Must read

- Advertisement -

You might also likeRELATED
Recommended to you