Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Méthode d'infection
Lorsque le cheval de Troie est exécuté, il dépose un fichier nommé "ndisrd.sys" (de 15338 octets) dans le répertoire "%System%\drivers" et créait la clé de registre suivante dans le but que le driver se charge au démarrage du système :
HKLM\System\CurrentControlSet\Services\ndisrd
Le cheval de Troie dépose également un composant DLL dans le répertoire "%System%" avec un nom de fichier aléatoire. (par exemple {nom_aleatoire}32.dll). Ce composant DLL est nécessaire aux fonctions principales utilisées par le troyen.
Afin de cacher sa présence sur le système, Blewfit-A modifie la date du fichier "ndisrd.sys" et du composant DLL en la calquant sur celle du fichier "kernel32.dll". Le composant DLL s'injecte également dans le processus du fichier "explorer.exe".
Blewfit-A créait les clés et valeurs de registre suivantes dans le but d'être exécuté à chaque démarrage d'une session utilisateur :
HKCR\CLSID\{id_genere_aleatoirement}\InprocServer32\(Default) = %System%\{nom_aleatoire}32.dll
HKCR\CLSID\{id_genere_aleatoirement}\InprocServer32\ThreadingModel = Apartment
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\mtklef = {id_genere_aleatoirement}
Note: {id_genere_aleatoirement} représente une chaîne de caractère générée aléatoirement.
Par exemple :
{16F69961-12B3-48F9-A797-051B37E9B5A8}
Le troyen créait également le mutex suivant dans le but d'être exécuté qu'une seule fois sur la machine infectée:
Qt_3
Payload
Surveillance du trafic réseau et vole d'informations sensibles
Le pilote initialement déposé peut être utilisé par Blewfit-A pour intercepter le trafic réseau sur la machine infectée. Blewfit-A log également certaines informations dans le fichier "%Windows%\boot.sys" qui peut être ensuite récupéré par un pirate par l'intermédiaire du cheval de Troie "Webber".