Backdoor.Win32.Shiz : un autre stealer qui joue avec les injections

Après les Zbot et Spyeye, les deux stealers plus répandus, je vous présente un nouveau stealer : Backdoor.Win32.Shiz

La détection Backdoor.Win32.Shiz.A est de 2009 chez Kaspersky : http://www.securelist.com/en/descriptions/5178490/Backdoor.Win32.Shiz.a
La détection PWS:Win32/Simda.gen!A  de Microsoft est de Mai 2011 : http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=PWS%3AWin32%2FSimda.gen!A

Ce dernier semble relativement actif chez VirusWatch :

Backdoor.Win32.Shiz_VirusWatch

Injection Winlogon.exe

Le malware joue avec les pendinfiles pour se copier à son emplacement, ici  C:\WINDOWS\apppatch\pgagxd.exe

Process:
   Path: C:\Documents and Settings\Mak\Bureau\files\deb679ce05525877ad2238fde7f68300.exe
   PID: 2428
   Information: Rfpfagteghvj (Frdvicw)
Registry Group: System Critical
Object:
   Registry key: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
   Registry value: PendingFileRenameOperations
      Type: REG_MULTI_SZ
      Value: \??\C:\WINDOWS\apppatch\pgagxd.exe_
             \??\C:\WINDOWS\apppatch\pgagxd.exe

Ce stealer semble spécialisé dans les injections de processus et notamment de winlogon.exe Ci-dessous le dropper prend le contrôle de winlogon.exe


Winlogon.exe ajoute ensuite la clef du registre qui lancera le malware.

Process:
   Path: C:\WINDOWS\system32\winlogon.exe
   PID: 656
   Information: Application d'ouverture de session Windows NT (Microsoft Corporation)
Registry Group: Winlogon
Object:
   Registry key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Registry value: userinit
   New value:
      Type: REG_SZ
      Value: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\pgagxd.exe,
   Previous value:
      Type: REG_SZ
      Value: C:\WINDOWS\system32\userinit.exe,

Backdoor.Win32.Shiz_injection_Winlogon

Le malware prends le contrôle de tous les processus via winlogon.exe afin de les contrôler et voler les informations.Backdoor.Win32.Shiz_injection_Winlogonexplorer.exe contrôlé par winlogon qui tente d’accéder aux fonctions du clavier



 Le malware fait un POST des informations volées et aussi un get pour obtenir la configuration :

1315318793.371  10607 192.168.1.27 TCP_MISS/200 388 POST http://babyberta.com/gameover2.php - DIRECT/89.208.34.119 application/octet-stream
1315318809.762  26998 192.168.1.27 TCP_MISS/200 388 POST http://babyberta.com/gameover2.php - DIRECT/89.208.34.119 application/octet-stream
1315321547.339    288 192.168.1.27 TCP_MISS/404 782 GET http://sirabyso.info/key.bin - DIRECT/91.221.98.5 text/html

Les connexions peuvent être établies par winlogon.exe ou explorer.exe


Chose amusante, le fichier n’est pas verrouillé, les antivirus qui le détectent ne devraient donc avoir aucun mal à supprimer le malware.
Le processus n’est pas visible car certainement chargé dans Winlogon.exe.
Un malware qui reste interressant par sa façon d’injecter les divers processus.

(Visité 42 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
La restauration système sur Windowstutoriel partage fichier et dossiers et groupe residentiel

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com