Troj_Secdrop-HB

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Quand il est exécuté, Secdrop-HB extrait les fichiers suivants dans un répertoire appellé "%SYSROOT%" qu'il crée dans le même répertoire que son exécutable :

kansy.reg
kany.reg
p.bat
protect_new_55x55.gif
update-sp1.html
update-sp2.html
update-sp3.html
update-sp4.html
update-sp5.html
windowsXP_masthead_ltr.gif

Le fichier batch "p.bat" est ensuite exécuté. Il importe les configurations de kany.reg dans la base de registre, puis charge chacun des fichiers .html dans le navigateur par défaut, avant d'importer finalement les configurations du fichier kansy.reg dans le registre.

Le fichier kany.reg change le registre pour permettre de multiples actions dans Internet Explorer. Beaucoup de ces actions ne sont pas autorisées ou requièrent confirmation de l'utilisateur, par exemple : le téléchargement et le lancement de contrôles ActiveX.

Secdrop-HB modifie les entrées de registre suivantes :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\3

et les valeurs suivantes :

"CurrentLevel"=1
"Flags"=1
"1001"=0
"1004"=0
"1200"=0
"1201"=0
"1206"=0
"1400"=0
"1402"=0
"1405"=0
"1406"=0
"1407"=0
"1601"=0
"1604"=0
"1605"=0
"1606"=0
"1607"=0
"1608"=0
"1609"=0
"1800"=0
"1802"=0
"1803"=0
"1804"=0
"1805"=0
"1A00"=0
"1A02"=0
"1A03"=0
"1A04"=0
"1A05"=0
"1A06"=0
"1A10"=0
"2001"=0
"2004"=0

Pour plus d'informations sur ce que représentent chaque valeur, veuillez consulter le support de Microsoft.

Les 5 fichiers HTML sont ensuites chargés dans le navigateur par défaut. Dans Internet Explorer, ils seront chargés un par un ; une fois la première page fermées, la seconde s'ouvrira et ainsi de suite, jusqu'à 5 pages. Ces pages web sont toutes des imitations du "Microsoft's Windows XP Security and Privacy" (voir capture d'écran), et chargent des scripts à la fin. Ces scripts essaie d'installer différents adwares depuis les domaines suivants :

static.windupdates.com
mmm.media-motor.net
c4tdownload.com
www.ysbweb.com
www.mt-download.com

Concernant le fichier kansy.reg, il change encore les configurations de sécurité en leur affectant la valeur 4. Cette valeur désactive bon nom de choses, notamment les lancements de contrôles ActiveX.

Voici les clefs modifiées :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\3

et les valeurs :

"1001"=4
"1004"=4
"1200"=4
"1201"=4
"1206"=4
"1400"=4
"1402"=4
"1405"=4
"1406"=4
"1407"=4
"1601"=4
"1604"=4
"1605"=4
"1606"=4
"1607"=4
"1608"=4
"1609"=4
"1800"=4
"1802"=4
"1803"=4
"1804"=4
"1805"=4
"1A00"=4
"1A02"=4
"1A03"=4
"1A04"=4
"1A05"=4
"1A06"=4
"1A10"=4
"2001"=4
"2004"=4

Les fichiers protect_new_55x55.gif et windowsXP_masthead_ltr.gif sont des images inoffensives.

Capture(s) d'écran: