_Canbede
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Canbede est composé de :
- un composant injecteur
- un composant exécutable
- 2 DLL (Dynamic Link Library) -> un pour Windows 98, l'autre pour les systèmes basés sur NT (tels que Windows 2000 ou Windows XP). Canbede dépose la bonne DLL, suivant le système d'exploitation à contaminer, sous le nom %System%\{caractères_aléatoires}.dll
N.B. : Le cheval de Troie détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Canbede termine la session utilisateur (système NT) ou redémarre l'ordinateur (système Windows 98) une fois que les fichiers ont été déposés.
La DLL est enregistrée en tant que "Inprocess Service" dans ces entrées de registre :
HKCR\CLSID\{CLSID_aléatoire}\InprocServer32\(Default) = "%System%\{nom_fichier_aléatoire}.dll"
HKCR\CLSID\{CLSID_aléatoire}\InprocServer32\ThreadingModel = "Apartment"
Le cheval de Troie change aussi d'autres entrées du registre :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunOnceEx\Asynchronous = 0x0
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunOnceEx\DllName = "%System%\{nom_fichier_aléatoire}.dll"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunOnceEx\Impersonate = 0x0
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunOnceEx\Logon = "WinLogon"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunOnceEx\Logoff = "WinLogoff"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunOnceEx\Shutdown = "WinShutdown"
La DLL possède une porte dérobée, permettant à une personne malveillante de prendre, en partie, le contrôle de la machine. Canbede contacte un serveur du domaine www.ad-w-a-r-e.com et peut télécharger des commandes à effectuer. En utilisant cette porte dérobée, un attaquant peut :
- Contrôler/Modifier des URL
- Obtenir des informations sur le système infecté
- Obtenir des détails sur la connexion Internet
- Voler des identifiants
- Changer la page de démarrage d'Internet Explorer de l'utilisateur
- Ajouter/Récupérer des valeurs de registre
- Télécharger et exécuter des fichiers
- Afficher des fenêtres pop-ups
- Ouvrir/Fermer Internet Explorer
Le fichier exécutable est un "fichier téléchargeur" qui tente de se connecter aux domaines www.look2me.com et www.look2me2.com. Ce composant utilise le fichier local %System%\ffInst.exe et télécharge Installer.exe, puis execute ce dernier. A l'heure de cette publication, le fichier contenait la dernière variante de Canbede et était donc utilisé pour mettre à jour le programme malveillant.
Taille: Inconnue
Détails techniques:
Canbede est composé de :
- un composant injecteur
- un composant exécutable
- 2 DLL (Dynamic Link Library) -> un pour Windows 98, l'autre pour les systèmes basés sur NT (tels que Windows 2000 ou Windows XP). Canbede dépose la bonne DLL, suivant le système d'exploitation à contaminer, sous le nom %System%\{caractères_aléatoires}.dll
N.B. : Le cheval de Troie détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Canbede termine la session utilisateur (système NT) ou redémarre l'ordinateur (système Windows 98) une fois que les fichiers ont été déposés.
La DLL est enregistrée en tant que "Inprocess Service" dans ces entrées de registre :
HKCR\CLSID\{CLSID_aléatoire}\InprocServer32\(Default) = "%System%\{nom_fichier_aléatoire}.dll"
HKCR\CLSID\{CLSID_aléatoire}\InprocServer32\ThreadingModel = "Apartment"
Le cheval de Troie change aussi d'autres entrées du registre :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunOnceEx\Asynchronous = 0x0
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunOnceEx\DllName = "%System%\{nom_fichier_aléatoire}.dll"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunOnceEx\Impersonate = 0x0
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunOnceEx\Logon = "WinLogon"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunOnceEx\Logoff = "WinLogoff"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunOnceEx\Shutdown = "WinShutdown"
La DLL possède une porte dérobée, permettant à une personne malveillante de prendre, en partie, le contrôle de la machine. Canbede contacte un serveur du domaine www.ad-w-a-r-e.com et peut télécharger des commandes à effectuer. En utilisant cette porte dérobée, un attaquant peut :
- Contrôler/Modifier des URL
- Obtenir des informations sur le système infecté
- Obtenir des détails sur la connexion Internet
- Voler des identifiants
- Changer la page de démarrage d'Internet Explorer de l'utilisateur
- Ajouter/Récupérer des valeurs de registre
- Télécharger et exécuter des fichiers
- Afficher des fenêtres pop-ups
- Ouvrir/Fermer Internet Explorer
Le fichier exécutable est un "fichier téléchargeur" qui tente de se connecter aux domaines www.look2me.com et www.look2me2.com. Ce composant utilise le fichier local %System%\ffInst.exe et télécharge Installer.exe, puis execute ce dernier. A l'heure de cette publication, le fichier contenait la dernière variante de Canbede et était donc utilisé pour mettre à jour le programme malveillant.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
