Classe pour les parents: TrojWare
Les chevaux de Troie sont des programmes malveillants qui exécutent des actions qui ne sont pas autorisées par l'utilisateur: ils suppriment, bloquent, modifient ou copient les données et perturbent les performances des ordinateurs ou des réseaux informatiques. Contrairement aux virus et aux vers, les menaces qui tombent dans cette catégorie sont incapables de se reproduire ou de s'autoreproduire. Les chevaux de Troie sont classés en fonction du type d'action qu'ils effectuent sur un ordinateur infecté.Classe: Trojan-Downloader
Programmes classés comme Trojan-Downloader télécharger et installer de nouvelles versions de programmes malveillants, y compris les chevaux de Troie et AdWare, sur les ordinateurs des victimes. Une fois téléchargés sur Internet, les programmes sont lancés ou inclus dans une liste de programmes qui s'exécuteront automatiquement au démarrage du système d'exploitation. Les informations sur les noms et les emplacements des programmes téléchargés se trouvent dans le code cheval de Troie ou sont téléchargés par le cheval de Troie à partir d'une ressource Internet (généralement une page Web). Ce type de programme malveillant est fréquemment utilisé dans l'infection initiale des visiteurs de sites Web qui contiennent des exploits.Plus d'informations
Plateforme: OSX
No platform descriptionDescription
Détails techniques
Une famille de logiciels malveillants pour Mac OS X. Les premières versions de ce type de menace ont été détectées en septembre 2011. En mars 2012, plus de 600 000 ordinateurs dans le monde ont été infectés par Flashback. Les ordinateurs infectés ont été combinés dans un botnet qui a permis aux cybercriminels d'installer des modules malveillants supplémentaires sur eux à volonté. L'un des modules est connu pour générer de faux résultats dans les moteurs de recherche, affichant de faux résultats pour les utilisateurs et générant des profits pour les cybercriminels via la «fraude au clic». Il est tout à fait possible qu'en plus d'intercepter le trafic des moteurs de recherche, les cybercriminels puissent télécharger d'autres modules malveillants sur des ordinateurs infectés, par exemple pour le vol de données ou la distribution de spam.
Un cheval de Troie qui télécharge d'autres programmes malveillants à partir d'Internet et les lance sur une machine victime à l'insu de l'utilisateur. Le programme est une application Mac OS X (Mach-o). Il est compris entre 19 384 et 200 876 octets. Il est écrit en C ++.
Charge utile
Une fois lancé, le cheval de Troie tente de télécharger des modules malveillants supplémentaires. Toutes les 24 heures, le cheval de Troie essaie de se connecter à 30 sites, générant 5 noms de domaine, tandis que 25 autres sont contenus dans le corps du programme malveillant lui-même. L'un de ces sites (choisi au hasard) héberge le serveur C & C du botnet tel qu'il est déployé par les cybercriminels. Les domaines ont des noms tels que:
jobijoolkfip4oasdkf.comithfmmcoo400dmsddditofdl.comutu9nnmkrogjfldoritvz.com999rjjfnvmvciwepoqwejdsadkf.comighrueokdhfcnnsjwwqqllxz.comitgii5fmmjmsppperujvmsdkkff.comjtierodoxzwerkolun.comiruifjckdlfqwexzcnvdkffd.comall-nightmexicansoftstore.comcallmetonight911.comoversellingresourcestoday.comfasttrackanddeliverytoyourdoors.comtrustedsoftappstore.comfantastischappstore.commegastoreappsstore.comcatholicappstorecloud.combestcatholicianappstoretoday.comonlinesoftstoreofweekend.comknockoutpricesappstoreeveryday.comsvupsvc.comajovgdekxrmw.comggatocowtonwpn.comwxsrnrskapelhy.comouspjintgjsrw.comLe cheval de Troie enregistre les modules téléchargés dans les dossiers d'application suivants:
/Applications/Safari.app//Applications/Firefox.app/etc.Les fichiers téléchargés peuvent être cryptés avec l'UUID de la machine victime. S'il est chargé avec succès, le cheval de Troie envoie une notification à ses propriétaires aux adresses suivantes:
http://adobesoftwareupdate.com/counter/http://78.46.139.211/jcounter/ etc.
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com