Troj_Alemod-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 25088 Octet(s)

Détails techniques:

Quand il est exécuté, Alemod-A modifie la base de registre pour être lancé à chaque démarrage de Windows :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WindowsFZ = "zloader.exe"

Alemod-A apporte aussi d'autres modificiations :

HKCR\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}
HKCR\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}\Clr = "
{valeur_hexa_aléatoire}"
HKCR\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}\Wp = ""
HKCR\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}\WpS = "0"


Alemod-A dépose le fichier %System%\w8673492.exe qui créera le fichier %System%\oleadm.dll avec l'heure de la dernière modification obtenue en consultant wininet.dll.
Il recopie, dans le dossier %System%, le fichier wininet.dll en oleadm32.dll et infecte la copie de wininet.dll, de ce fait, toutes les requêtes HTTP envoyées, utilisant cette DLL (Dynamic Link Library) passeront à travers oleadm.dll.

N.B. : Alemod-A détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Dans le dossier %System%, Alemod-A dépose wp.gif (converti par Windows en image bitmap .bmp) et la configure en tant que fond d'écran. Alemod-A définit la couleur bleue sur le bureau pour que son image soit plus convaincante (voir capture d'écran) :

HKCU\Control Panel\Desktop\Wallpaper = "%System%\wp.bmp"
HKCU\Control Panel\Colors\Background = "0 0 0"
HKCU\Control Panel\Desktop\WallpaperStyle = "0"


Le composant DLL oleadm.dll lit le contenu des requêtes HTTP et redirige l'utilisateur, suivant tous les détails significatifs, vers l'un des 3 domaines :

ecjnoe3inwe.com/
fjrewcer32.com/
dkjfwekjnc4.com/


Alemod-A ajoute la clé de registre suivante pour lui permettre de renommer les fichiers protégés :

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AllowProtectedRenames = 0x1

Puis il modifie le fichier système %Windir%\wininit.ini pour permuter la DLL infectée wininet.dll (oleadm32.dll) avec le vrai wininet.dll.

Alemod-A ajoute les entrées de registre suivantes pour empêcher l'utilisateur de changer le fond d'écran :

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges = 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage = 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispAppearancePage = 0x1


N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

Alemod-A affiche un popup (voir capture d'écran) à plusieurs reprises, dans le but d'effrayer l'utilisateur du système infecté afin qu'il télécharge un supposé scanner de malwares.

Le composant DLL tente de télécharger et d'exécuter le fichier PSGuardInstall.exe dans le dossier %Temp%.

N.B. : Le cheval de Troie détermine l'emplacement du dossier %Temp% de l'utilisateur en fonction du système d'exploitation. Généralement C:\Documents and Settings\{nom_d'utilisateur}\Local Settings\Temp ou C:\WINDOWS\TEMP.

Alemod-A désinstalle le fond d'écran qu'il a installé, arrête d'afficher son popup si l'utilisateur télécharge et installe le programme. Cependant, il continuera à récupérer les requêtes HTTP.

Capture(s) d'écran:

Alemod-A

Alemod-A



http://www.blocus-zone.com/