Les créateurs de malwares utilisent les failles présentes dans les logiciels afin d’introduire leur code malveillant dans les systèmes des victimes.
Les exploits de type « zero-day » ont eu beaucoup de succès cette année et ont été très nombreux, au point de devenir l’une des principales sources de diffusion de malwares. C’est aussi le cas d’un duo malveillant intéressant, associant Exploit.CVE-2010-3962.B dans le rôle du vecteur d’infection et Win32.Backdoor.Banito.A dans celui de la charge utile.
Win32.Backdoor.Banito.A agit en tant que compagnon, ce qui signifie qu’il « détourne » les fichiers exécutables dont la taille est supérieure à zéro octet. Une fois l’infection déclenchée, le cheval de Troie crée une copie de toutes les applications en cours d’exécution à ce moment, mais supprime leur extension exécutable. Il injecte ensuite immédiatement son code viral dans le fichier exécutable d’origine, ce qui permet de le lancer à chaque fois que l’utilisateur essaie d’ouvrir le programme. Win32.Backdoor.Banito.A veille toutefois à ne pas infecter les fichiers appartenant à des navigateurs connus, à des applications de messagerie instantanée, à des antivirus, à des jeux, à des logiciels de traitement de texte et d’images, ou au système d’exploitation.
De plus, il adopte l’icône du fichier d’origine et d’autres ressources, afin d’être le plus discret possible et de ressembler en tout point au fichier pour lequel il se fait passer.
Win32.Backdoor.Banito.A recherche également de temps en temps d’autres processus en cours d’exécution n’ayant pas encore été infectés. S’il détecte de nouvelles applications, il leur crée immédiatement des compagnons. De cette façon, chaque processus en cours d’exécution sur le système disposera d’un compagnon « personnel » à un moment ou à un autre. Une fois exécutée, l’application infectée s’exécutera normalement, ce qui rend ce cheval de Troie extrêmement difficile à détecter.
Win32.Backdoor.Banito.A prend une précaution supplémentaire : il crée un fichier de sauvegarde avec l’extension .bak, au cas où le fichier d’origine serait supprimé.
De plus, Win32.Backdoor.Banito.A agit en tant que backdoor et accepte les commandes envoyées via TCP/IP et UDP. L’analyse a révélé que le backdoor prenait des copies d’écran du bureau, capturait le flux de la webcam et envoyait des informations au sujet des utilisateurs et des administrateurs, des lecteurs installés et du système d’exploitation. Il peut également éteindre ou redémarrer le système, supprimer, copier et/ou renommer des fichiers, créer des répertoires ou lister les fichiers de certains répertoires.
Article réalisé grâce aux informations techniques fournies par Doina Cosovan., spécialiste BitDefender des virus informatiques.