App.Ad_Memwatch-B

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 43000 Octet(s)

Détails techniques:

Méthode d'infection

Lorsqu'il est exécuté, Memwatch-B se copie dans le répertoire %System% en utilisant des noms aléatoires.

Exemple:
Clk7ubTz.exe
KrwH5f.exe
RhqYr.exe


Il modifie une valeur de la base de registre, également avec un nom aléatoire dans le but d'être exécuté à chaque démarrage d'une session utilisateur.

Exemple:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\2JEJA4K5X8WPZD = "C:\WINDOWS\System32\RhqYr.exe"

Il dépose également quelques copies d'un exécutable dans le répertoire %System%, toujours en utilisant des noms aléatoire.

Exemple:
BxkGy8f.exe
FcrS9kPQ.exe
SjsASZ.exe
Smr5.gts
VrvQa.exe
Xho59.exe
Xit05.exe


L'ensemble des fichiers associés à l'adware ont comme attribue "Fichier caché".

Memwatch-B créait également une clé dans la base de registre avec un nom aléatoire.

Exemple:
HKLM\SOFTWARE\2BPLHXX2XRB8JY

Cette clé est utilisée pour stocker des valeurs binaires qui vont être nécessaire à certaines fonctionnalités de l'adware.

Payload

Téléchargement et exécution de fichiers arbitraires

Memwatch-B récupère des informations de mise à jour et de configuration sur le nom de domaine "rads01.quadrogram.com". Le fichier de configuration peut contenir certaines instructions pour le téléchargement et l'exécution de fichiers à distance.

Affichage de publicités

Le fichier de configuration téléchargé contient également des instructions permettant l'affichage de publicités sous forme de pop up via Internet Explorer.




http://www.secuobs.com/