Ce cheval de Troie espion recherche des documents et des archives susceptibles de contenir des informations confidentielles afin de les transmettre à un attaquant.
Les problèmes causés par Stuxnet sont loin d’être oubliés et tout signe d’intrusion extérieure est encore considéré comme étant de la plus haute importance. Les affaires sont dures ces temps-ci, mais rien n’est pire que la présence d’e-menaces recherchant des données confidentielles. Un malware espionnant le réseau local d’une entreprise constitue un danger important et, malheureusement, ce type de menaces est en constante augmentation.
Trojan.Spy.YEK, à la fois espion et backdoor, est un ennemi de taille. Avec une dll cryptée dans son segment de recouvrement, ce cheval de Troie est facilement enregistré dans windows\system32\netconf32.dll et, une fois injecté dans explorer.exe, rien ne l’empêche de se connecter (à chaque fois que cela est nécessaire) aux lieux de rendez-vous avec l’attaquant.
Le composant backdoor l’aide à s’enregistrer en tant que service afin de recevoir et de suivre les instructions d’un centre de commande et de contrôle, alors que le composant spyware transmet des données concernant les fichiers et le système d’exploitation, tout en réalisant des captures d’écran des processus en cours.
Il est censé exécuter les commandes suivantes : envoi des fichiers recueillis à l’aide d’une requête GET, envoi d’informations concernant le système d’exploitation et l’ordinateur, réalisation de captures d’écran et envoi des résultats, établissement d’une liste des processus en cours d’exécution sur le système et transmission de celle-ci, détection de fichiers contenant une extension particulière. En résumé, il télécharge toutes les données intéressantes vers un serveur FTP, à l’insu de l’utilisateur.
Le fait qu’il recherche tout ce qui est lié aux archives, e-mails (.eml, .dbx), carnets d’adresses (.wab), bases de données et documents (.doc, .odt, .pdf etc.) laisse penser que Trojan.Spy.YEK espionne les entreprises puisqu’il semble cibler les données confidentielles de celles-ci.
De plus, ce cheval de Troie s’exécute sans difficulté sur toutes les versions de Windows®, de Windows 95® à Seven®. Si ce n’est pas encore fait, il est peut-être temps d’adopter un antivirus.
Informations de cet article disponibles grâce à l’aimable contribution de Doina Cosovan et d’Octavian Minea, Spécialistes BitDefender des Malwares.