Troj_Blewfit-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Méthode d'infection

Lorsque le cheval de Troie est exécuté, il dépose un fichier nommé "ndisrd.sys" (de 15338 octets) dans le répertoire "%System%\drivers" et créait la clé de registre suivante dans le but que le driver se charge au démarrage du système :

HKLM\System\CurrentControlSet\Services\ndisrd

Le cheval de Troie dépose également un composant DLL dans le répertoire "%System%" avec un nom de fichier aléatoire. (par exemple {nom_aleatoire}32.dll). Ce composant DLL est nécessaire aux fonctions principales utilisées par le troyen.

Afin de cacher sa présence sur le système, Blewfit-A modifie la date du fichier "ndisrd.sys" et du composant DLL en la calquant sur celle du fichier "kernel32.dll". Le composant DLL s'injecte également dans le processus du fichier "explorer.exe".

Blewfit-A créait les clés et valeurs de registre suivantes dans le but d'être exécuté à chaque démarrage d'une session utilisateur :

HKCR\CLSID\{id_genere_aleatoirement}\InprocServer32\(Default) = %System%\{nom_aleatoire}32.dll
HKCR\CLSID\{id_genere_aleatoirement}\InprocServer32\ThreadingModel = Apartment
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\mtklef = {id_genere_aleatoirement}


Note: {id_genere_aleatoirement} représente une chaîne de caractère générée aléatoirement.

Par exemple :
{16F69961-12B3-48F9-A797-051B37E9B5A8}

Le troyen créait également le mutex suivant dans le but d'être exécuté qu'une seule fois sur la machine infectée:
Qt_3

Payload

Surveillance du trafic réseau et vole d'informations sensibles

Le pilote initialement déposé peut être utilisé par Blewfit-A pour intercepter le trafic réseau sur la machine infectée. Blewfit-A log également certaines informations dans le fichier "%Windows%\boot.sys" qui peut être ensuite récupéré par un pirate par l'intermédiaire du cheval de Troie "Webber".




http://www.altospam.com/