Cette section destinée aux experts, expose les détails techniques de ce virus.Taille: 39936 Octet(s)
Détails techniques: A son exécution, Alemod-E apporte des modificiations à la base de registre :
HKCR\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}
HKCR\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}\Clr = {valeur_hexa_aléatoire}
"
HKCR\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}\Wp = ""
HKCR\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}\WpS = "2"
Il crée ensuite le fichier
%System%\oleadm.dll avec l'heure de la dernière modification obtenue en consultant
wininet.dll.
Il recopie, dans le dossier
%System%, le fichier
wininet.dll en
oleadm32.dll et infecte la copie de
wininet.dll, de ce fait, toutes les requêtes HTTP envoyées, utilisant cette DLL (Dynamic Link Library) passeront à travers
oleadm.dll.
N.B. : Alemod-E détermine l'emplacement du répertoire
%System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de
C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de
C:\Windows\System et sous XP :
C:\Windows\System32.
Alemod-E dépose et exécute le fichier
%System%\intel32.exe, qui affiche une icône d'alerte rouge dans le "Systray" (voir capture d'écran).
Si l'utilisateur passe la souris sur cette icône, il verra s'afficher le message suivant :
"
Your computer is infected!"
Si il click droit sur cette icône, c'est ce message qui s'affichera :
"
Click here to protect your computer from spyware / virus threat."
Dans le cas où l'utilisateur clik gauche sur cette icône, Alemod-E lance le navigateur Internet par défaut du système infecté et affiche la page :
http://www.psguard.com/?{censuré}
&sub=0
Dans le dossier
%System%, Alemod-E dépose
wp.gif (converti par Windows en image bitmap
.bmp) et la configure en tant que fond d'écran. Alemod-B définit la couleur bleue sur le bureau pour que son image soit plus convaincante (voir capture d'écran) :
HKCU\Control Panel\Desktop\Wallpaper = "%System%\wp.bmp"
HKCU\Control Panel\Colors\Background = "1 2 172"
HKCU\Control Panel\Desktop\WallpaperStyle = "0"
Le cheval de Troie crée également un mutex nommé "
OLEADMUTEX" pour empêcher l'exécution simultanée de plusieurs versions du trojan sur la machine infectée.
Le composant DLL
oleadm.dll lit le contenu des requêtes HTTP et redirige l'utilisateur, suivant tous les détails significatifs, vers l'un des 3 domaines :
ecjnoe3inwe.com
fjrewcer32.com
dkjfwekjnc4.com
Il contacte aussi le domaine
alphaportal.com, vraisemblablement pour avertir quelqu'un de la réussit de l'infection d'une nouvelle machine.
Alemod-E ajoute la clé de registre suivante pour lui permettre de renommer les fichiers protégés :
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AllowProtectedRenames = 0x1
Puis il modifie le fichier système
%Windir%\wininit.ini pour permuter la DLL infectée
wininet.dll (
oleadm32.dll) avec le vrai
wininet.dll.
Alemod-E s'ajoute dans la fenêtre "Ajout/Suppression de programmes" sous le nom "
Internet Update" en modifiant le registre :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\Display Name = "Internet Update"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\UninstallString = "uninstIU.exe
Alemod-E ajoute les entrées de registre suivantes pour empêcher l'utilisateur de changer le fond d'écran :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges = 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage = 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispAppearancePage = 0x1
Alemod-E dépose un fichier de désinstallation
uninstIU.exe dans le répertoire
%Windir% qui désactive le trojan, mais ne supprime pas, les fichiers de Alemod-E.
N.B. :
%Windir% représentant le dossier Windows, généralement situé ici
C:\Windows ou là
C:\WINNT.
Alemod-E tente de terminer le process
stmgr.exe et de supprimer son entrée de registre associée :
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\*StateMgr
Alemod-E tente de télécharger et d'exécuter le fichier
PSGuardInstall.exe dans le dossier
%Temp%. Il peut aussi essayer de télécharger et d'exécuter un autre fichier du nom de
1.exe depuis l'adresse IP 206.161.200.34.
N.B. : Le cheval de Troie détermine l'emplacement du dossier
%Temp% de l'utilisateur en fonction du système d'exploitation. Généralement
C:\Documents and Settings\{nom_d'utilisateur}
\Local Settings\Temp ou
C:\WINDOWS\TEMP.
Capture(s) d'écran: