Dans le billet initial de ZeroAccess de Juillet 2011, il était dit que le dropper de ZeroAccess demandait indéfiniment une élévation de privilèges avec des popups UAC incessantes jusqu’à ce que l’utilisateur accepte.
Depuis fin Novembre, le schéma pour acquérir l’élévation de privilège a changé.
Un petit crack chez crackguru pour détailler tout cela.
Comme vous pouvez le voir, ci-dessous le dropper lance l’installation de Flash Player… : 
puis l’installation demande une élévation de privilèges :
Vous allez me dire, haha c’est bon, c’est un fake, bon il est bien fait, il est en français et tout et tout mais je vais pas me faire avoir.
Perdu, c’est le vrai installer d’Adobe : https://www.virustotal.com/file/393a8f0443ac29219ee6950867228fc0d1faa47afd5b37d7b3bb729bef3aa3fd/analysis/
Le fichier est bien signé :
publisher................: Adobe Systems, Inc. product..................: Flash_ Player Installer/Uninstaller internal name............: Adobe_ Flash_ Player Installer/Uninstaller 11.1 copyright................: Copyright (c) 1996-2011 Adobe, Inc. original name............: FlashUtil.exe signing date.............: 6:57 AM 11/1/2011 signers..................: Adobe Systems Incorporated VeriSign Class 3 Code Signing 2010 CA VeriSign Class 3 Public Primary Certification Authority - G5 file version.............: 11,1,102,55 description..............: Adobe_ Flash_ Player Installer/Uninstaller 11.1 r102
so WTF ?
Si on jète un coup d’oeil au dossier %TEMP% – on peux voir que l’on a l’installeur et une DLL (les fichiers sont masqués depuis l’explorateur de fichers).
et quand on regarde de plus près… L’installateur charge cette DLL…
Vous l’avez deviné, la DLL est pourrie : https://www.virustotal.com/file/2392462583dd8ed477be319aefd9b5c75e1fb990e62c02a04b35d933cb589e3f/analysis/1328119105/
SHA256: 2392462583dd8ed477be319aefd9b5c75e1fb990e62c02a04b35d933cb589e3f File name: msimg32.dll Detection ratio: 9 / 43 Analysis date: 2012-02-01 17:58:25 UTC ( 0 minute ago ) BitDefender Gen:Variant.Graftor.13015 20120201 DrWeb BackDoor.Maxplus.2058 20120201 Emsisoft Trojan-Dropper.Win32.Sirefef!IK 20120201 F-Secure Gen:Variant.Graftor.13015 20120201 GData Gen:Variant.Graftor.13015 20120201 Ikarus Trojan-Dropper.Win32.Sirefef 20120201 Kaspersky HEUR:Trojan.Win32.Generic 20120201 NOD32 a variant of Win32/Kryptik.ZUA 20120201 nProtect Gen:Variant.Graftor.13015
En d’autre terme, l’installeur charge la DLL msimg32.dll en reprenant en priorité une DLL dans le répertoire courant.
Le dropper initial telecharge le vrai installeur Flash (en prenant la version avec la bonne langue) dans %TEMP% puis colle la DLL malicieuse toujours dans %TEMP%.
L’installeur Adobe Flash se lance et charge la DLL malicieuse.. et.. et… l’élévation de privilège se fait… avec la DLL dans le processus.
La porte ouverte au système est faite. On voit que l’installeur se connecte en HTTP vers une IP pourrie (un coup de Google pour confirmer) 178.32.190.142 chez OVH. 
puis lance un shell et le fameux fichier X
Si on est en 32 bits, le patch du driver a lieu, si on est en 64 bits, conserv.dll sera droppé : http://www.malekal.com/2011/10/19/zaccess-sur-windows-64-bits-consrv-winsrv/
Comme vous pouvez le voir ici, une belle attaque par social engeenering qui va être particulièrement difficile à détecter et tant donné que l’installeur est le vrai.
Difficile de faire le lien entre une proposition de mise à jour Flash et le lancement d’un crack (et encore moins dans le cas d’un Exploit sur site WEB).
Reste que le crack va se connecter pour télécharger l’installeur d’adobe (vers une IP légitime), à voir si le pare-feu émet une alerte.
On peux saluer l’utilisation judicieux de l’installeur Flash comme passerelle pour l’élévation de privilège et on voit les limites de l’UAC.
Billet très interessant !!!
Merci