Troj_Netmesser-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 9333 ? 15360 Octet(s)

Détails techniques:

Sur un système Windows XP, le cheval de Troie altère le fichier :

%AppData%\Microsoft\Network\Connections\Pbk\rasphone.pbk

en changeant les lignes suivantes :

IpDnsAddress={DNS modifié}
IpDns2Address={DNS modifié}

Il liste ensuite le contenu de l'entrée de registre suivante afin d'y trouver une référence à une connexion réseau :

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters

Si il en trouve une, le serveur DNS de la connexion est modifié par l'intermédiaire de la clé "NameServer".

Sur un système Windows 98, le cheval de Troie effectue les modifications suivantes dans la base de registre :

HKLM\System\CurrentControlSet\Services\VxD\MSTCP\NameServer = {serveur DNS modifié}

Après que Netmesser-A ait fait les modifications DNS en fonction du système d'exploitation qu'il infecte, il exécute la commande suivante :

"ipconfig /flushdns"

afin de s'assurer que les modifications ont bien été prise en charge.

Un serveur de noms de domaine (DNS) tient à jour une liste de noms de domaine pointant vers une adresse IP. Ainsi, quand un utilisateur demande un nom de domaine particulier (par exemple, virustraq.com), la machine de l'utilisateur envoie une requête au serveur DNS qui va lui retourner l'adresse numérique correspondant au nom de domaine (dans notre cas : 84.16.81.24).

En redirigeant les requêtes émises par la machine de l'utilisateur vers un serveur DNS contenant une liste de noms de domaine tronquée, le pirate peut facilement rediriger les utilisateurs vers un tout autre site.

Par exemple, si un utilisateur souhaite accéder au site Internet de sa banque en ligne, il peut être redirigé vers un site "spoofé" semblable au site d'origine. Cette action étant réalisée sans que l'utilisateur ne s'en aperçoive.

Actuellement, les adresses des serveurs DNS utilisés par ce cheval de Troie sont les suivantes :
69.50.166.94
69.50.188.180
69.31.80.244
195.225.176.31





http://www.blocus-zone.com/