Cette section destinée aux experts, expose les détails techniques de ce virus.Taille: Inconnue
Détails techniques: Méthode d'infection
Lorsque Alureon-B est exécuté, il définit une entrée dans la base de registre dans le but d'être exécuté à chaque démarrage d'une session utilisateur.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\{nom_de_fichier.exe} = "{nom_de_fichier.exe}"
Note: {nom_de_fichier.exe} est une variable représentant le nom du fichier exécutable.
Le cheval de Troie dépose un fichier .DLL "ms{xx}.dll" (de 11776 octets) dans le répertoire %System% et s'installe en tant que "Browser Helper Object". Ce qui signifie que la .DLL s'insère à Internet Explorer et s'exécute à chaque démarrage de celui-ci.
Note: {xx} représente deux lettres générées aléatoirement par le cheval de Troie. Par exemple: "msat.dll"
Note: '%System%' est une variable locale. Alureon-B détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.
PayLoad
Le fichier .DLL déposé par Alureon-B est utilisé pour exécuter un certain nombre de fonctions sur la machine infectée, tels que :
- La suppression de fichiers
- Terminer un processus
- Modifier une valeur de la base de registre
- Création de raccourcis Internet, qui sont ensuite sauvegardés dans le répertoire "Favoris" de l'utilisateur infecté
- Téléchargement de fichiers
- Téléchargement et exécution de fichiers arbitraires ou autres malwares
Initialement, le cheval de Troie télécharge un script de l'URL "http://69.**.**.131". Ce script contient une liste de fichiers pouvant être téléchargé, copié puis exécuté dans le répertoire %System%.
Voici une liste non exhaustive des fichiers téléchargés par le cheval de Troie :
Alureon-B
Aluroot-B
Bloon-A
Lospad-C
Netmesser-A
StartPage-LN
Un des composants téléchargé par le cheval de Troie est un adware qui installe une barre d'outils à Internet Explorer. (Voir Capture(s) d'écran)
Actuellement le script de téléchargement contient le nom de deux autres fichiers .DLL. Ces deux autres fichiers sont téléchargé dans le répertoire %System% en tant que "dx9vbc.dll" (de 25088 octets) et "dnsauth.dll" (de 7680 octets). Ils sont également installés en tant que "Browser Helper Objects".
Le fichier .DLL "dx9vbc.dll" est utilisé pour accéder à de nombreux sites Internet. Lorsque Internet Explorer est exécuté, le fichier est utilisé par le troyen pour rediriger l'utilisateur sur des sites à caractère pornographique.
Le fichier .DLL "dnsauth.dll" est utilisé pour télécharger des fichiers spécifiques d'une adresse Internet spécifique et les exécuter du répertoire %System%.
Enfin, le troyen provoque un crash d'Internet Explorer après une période donnée.
Informations additionnelles
Alureon-B définit un certains nombres de valeurs dans la base de registre, voici un liste des clés utilisés par celui-ci :
HKCU\Software\Microsoft\Internet Explorer
Les valeurs étant:
Expire
ID
Init
LExpire
Raw
SExpire
VersionCapture(s) d'écran: