Troj_Dudrev-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 6592 Octet(s)

Détails techniques:

Méthode d'infection

Lorsqu'il est exécuté Dudrev-A dépose un composant DLL avec un nom de fichier aléatoire dans le répertoire %System%.

Il définit ensuite les valeurs de la base de registre suivante dans le but d'être exécuté à chaque démarrage d'une session utilisateur :

Pour Windows XP/2K :

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iexplore\DllName = "{nom_aleatoire}.dll"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iexplore\Startup = "expF4"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iexplore\Impersonate = 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iexplore\Asynchronous = 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iexplore\MaxWait = 1


Pour Windows 98 :

HKLM\System\CurrentControlSet\Control\MPRServices\TestService\DllName = "{nom_aleatoire}.dll"
HKLM\System\CurrentControlSet\Control\MPRServices\TestService\EntryPoint = "expF4"
HKLM\System\CurrentControlSet\Control\MPRServices\TestService\StackSize = 0


Note: '%System%' est une variable de localisation. Dudrev-A détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

Payload

Téléchargement et exécution de fichiers arbitraires

Le composant DLL télécharge un fichier du domaine naupoint.com qui contient des instructions encryptées.

Le fichier est sauvegardé sous le nom de "cmd.dat" dans le répertoire %System%. Dudrev-A est capable d'interpréter les instructions pour effectuer les opérations suivantes :

- Télécharger et exécuter un fichier arbitraire d'un URL sauvegardé en tant que %System%\tmpfxx.exe" (où xx représente des caractères numériques)
- Désinstallé le cheval de Troie
- Se mettre à jour

Le cheval de Troie contrôle également la présente des processus de certains navigateurs Internet :

iexplore.exe
opera.exe
myie.exe
mozilla.exe


Si l'un de ces processus est exécuté, le composant DLL s'injecte dans celui-ci. Ce qui signifie que les activités du cheval de Troie seront considérées comme celles du navigateur Internet. Cette technique permet ainsi à Dudrev-A de cacher sa présence et outre passer les pares feu.




http://www.aideinfo.com/