Troj_Formglieder-B

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Méthode d'infection

Lorsqu'il est exécuté, le ver se copie en tant que "%Windows%\winhlp.exe" et ajoute une entrée dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\winhlp.exe = "%Windows%\winhlp.exe"

Note: '%System%' est une variable locale. Formglieder-B détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

Formglieder-B créait un GUID et le stock en ajoutant une entrée dans la base de registre :

HKLM\Software\Microsoft\UserData\UID = "{GUID}"

Note: {GUID} représente globalement un identifiant unique codé sur 128, son format est similaire à ceci :

{AF9A6F7A-0D3D-48A5-B1D8-A78C3A99F056}

Payload

Téléchargement et exécution de fichiers arbitraires

Formglieder-B se connecte à un serveur web toute les heures, télécharge et exécute un fichier de ce serveur. Le nom de domaine de ce serveur étant "www.claus.drehteile-rieche.de".

Les fichiers téléchargés sont sauvegardés en tant que "%Windows%\{caractere_aleatoire}.exe".

Subtilisation d'informations sensibles

Formglieder-B collecte des données sur une machine infectée et les publie sur un serveur web (en l'occurrence "www.claus.drehteile-rieche.de").

Les informations collectées sont :
- Le nom des applications installées ainsi que leurs versions
- La liste des processus en cours de fonctionnement
- La localisation de la machine (le pays)
- La langue
- La version d'Internet Explorer

Formglieder-B recherche les clés et les sous clés de registre correspondant à une valeur spécifique:

Clés
Software\Microsoft\Internet Account Manager\Accounts
Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook

Valeurs
SMTP Email Address
Email
HTTP User
POP3 User Name
POP3 User
IMAP User
IMAP User Name
HTTPMail User Name
HTTPMail Password2
HTTP Password
POP3 Password
POP3 Password2
IMAP Password
IMAP Password2
POP3 Server
IMAP Server
HTTPMail Server
HTTP Server URL

Formglieder-B récupère ainsi les valeurs des clés de la base de registre dans le but de les publier sur internet.

FormGlieder-B surveille également toutes les actions du navigateur Internet Explorer et enregistre dans un fichier log toutes les requêtes HTTP contenant l'une des chaînes de caractères suivante :

utterfielddirect.com
navyfcu.org
internationalbanking
direct-validate.bankofamerica.com
hsbc
client.ccf.fr
sabb.com
firstdirect.com
hangseng.com
citibank
cajamadrid
stgeorge.com.au
national.com.au
commbank.com.au
bendigobank.com.au
suncorp.com.au
bankwest.com.au
adelaidebank.com.au
benbank.com.au
macquarie.com.au
etrade.com.ua
e-gold
1mdc
goldmoney
westernunion
shwab
etradebank
interactivebrokers
citibank
etrade
ameritrade
navyfcu
netbank
wellsfargo
ikobo
bank
money

Formglieder-B enregistre toutes les données insérées dans les formulaires. Les logs sont ensuite publiés sur Internet à l'adresse "www.claus.drehteile-rieche.de".

Lorsque l'adresse visitée par l'utilisateur contient les chaînes de caractères "e-gold.com" ou "acct" ou "balance.asp", FormGlieder-B effectue une capture d'écran et la publie sur le serveur web. Cette technique permet ainsi à des pirates de récupérer certaines informations très sensibles (comme par exemple des numéros de carte bancaire).