Cet outil bien pensé est conçu pour rediriger votre navigateur vers certaines pages et envoyer des messages aléatoires à l’ensemble de vos contacts MSN®, entre autres choses.
Première Rencontre
Vous pouvez être infecté par Trojan.FBClicker.A sur une application de réseau social qui, en échange d’un « Like », vous dirige vers de nombreux sites web remplis de malwares.
Le décor
Une fois sur le système, FBClicker fait passer la sécurité avant tout en vérifiant qu’il ne s’exécute pas dans une machine virtuelle (VMWare) ou que des processus comme Wireshark.exe ou tcpview.exe ne sont pas en cours d’exécution. Son objectif est d’être aussi discret que possible puisque ce clicker et le téléchargeur qui l’accompagne transmettent des données critiques recueillies sur le système compromis à leur centre de commande et de contrôle.
De plus, il désinstalle des solutions antivirus telles que MSASCui (Microsoft® Windows® Defender) et msmpeng (Microsoft Windows Defender antispyware) s’il les détecte. De cette façon, rien ne fera obstacle à ses actions malveillantes.
Le travail
FBClicker commence par rechercher des fichiers nommés ranga, xanga, panga, et, s’il les trouve, les supprime ainsi que les clés de registre qui leur sont associées. Ces fichiers correspondent en fait à des versions antérieures du même malware.
Pour accéder à Internet quand il le souhaite, FBClicker ajoute des exceptions au Pare-feu Windows, créant ainsi une brèche exploitable lorsque les commandes du centre C&C commencent à affluer.
Réception des commandes provenant du centre C&C
FBClicker peut modifier la page d’accueil du navigateur et rediriger le navigateur vers certaines pages web, une pratique couramment employée par les applications adwares. En modifiant le moteur de recherche et en visitant des pages web, l’attaquant peut gagner de l’argent grâce aux campagnes d’affiliation, aux rémunérations au clic etc. Le C&C lui indique également le temps d’attente avant d’ouvrir une nouvelle page web via le navigateur par défaut.
Les autres commandes prises en charge sont les suivantes :
– REMOVE, qui donne l’ordre au clicker de fuir – une approche destinée à protéger le botmaster des experts en cybercriminalité lorsque la situation lui échappe
– DOWNLOAD – utile notamment lorsque le clicker souhaite inviter ses amis malveillants à la fête, sur l’ordinateur déjà infecté
– UPDATE – utilisée uniquement lorsque les botmasters déploient une nouvelle version du clickbot avec des fonctionnalités supplémentaires ou un meilleur obscurcissement
– Enfin, la commande MSN qui se déclenche toutes les 23 minutes et envoie divers messages et liens à tous les contacts de MSN Messenger, s’ils sont connectés.
Pour ne pas éveiller de soupçons, FBClicker ne se met pas au travail immédiatement, mais attend au moins une heure avant de passer aux choses sérieuses. Précisons que ce clicker et téléchargeur dispose également d’un ver, qui crée un fichier autorun.inf et une copie de lui-même sur toutes les clés USB branchées au système.
INFORMATION :
Article réalisé grâce aux informations techniques fournies par R?zvan Benchea et Doina Cosovan, Spécialistes BitDefender des virus informatiques. Tous les noms de produits ou d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.