Backdoor.Win32.Shiz : un autre stealer qui joue avec les injections

Après les Zbot et Spyeye, les deux stealers plus répandus, je vous présente un nouveau stealer : Backdoor.Win32.Shiz

La détection Backdoor.Win32.Shiz.A est de 2009 chez Kaspersky : http://www.securelist.com/en/descriptions/5178490/Backdoor.Win32.Shiz.a
La détection PWS:Win32/Simda.gen!A  de Microsoft est de Mai 2011 : http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=PWS%3AWin32%2FSimda.gen!A

Ce dernier semble relativement actif chez VirusWatch :

Backdoor.Win32.Shiz_VirusWatch

Injection Winlogon.exe

Le malware joue avec les pendinfiles pour se copier à son emplacement, ici  C:\WINDOWS\apppatch\pgagxd.exe

Process:
   Path: C:\Documents and Settings\Mak\Bureau\files\deb679ce05525877ad2238fde7f68300.exe
   PID: 2428
   Information: Rfpfagteghvj (Frdvicw)
Registry Group: System Critical
Object:
   Registry key: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
   Registry value: PendingFileRenameOperations
      Type: REG_MULTI_SZ
      Value: \??\C:\WINDOWS\apppatch\pgagxd.exe_
             \??\C:\WINDOWS\apppatch\pgagxd.exe
Ce stealer semble spécialisé dans les injections de processus et notamment de winlogon.exe Ci-dessous le dropper prend le contrôle de winlogon.exe


Winlogon.exe ajoute ensuite la clef du registre qui lancera le malware.

Process:
   Path: C:\WINDOWS\system32\winlogon.exe
   PID: 656
   Information: Application d'ouverture de session Windows NT (Microsoft Corporation)
Registry Group: Winlogon
Object:
   Registry key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Registry value: userinit
   New value:
      Type: REG_SZ
      Value: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\pgagxd.exe,
   Previous value:
      Type: REG_SZ
      Value: C:\WINDOWS\system32\userinit.exe,

Backdoor.Win32.Shiz_injection_Winlogon

Le malware prends le contrôle de tous les processus via winlogon.exe afin de les contrôler et voler les informations.Backdoor.Win32.Shiz_injection_Winlogonexplorer.exe contrôlé par winlogon qui tente d’accéder aux fonctions du clavier



 Le malware fait un POST des informations volées et aussi un get pour obtenir la configuration :

1315318793.371  10607 192.168.1.27 TCP_MISS/200 388 POST http://babyberta.com/gameover2.php - DIRECT/89.208.34.119 application/octet-stream
1315318809.762  26998 192.168.1.27 TCP_MISS/200 388 POST http://babyberta.com/gameover2.php - DIRECT/89.208.34.119 application/octet-stream
1315321547.339    288 192.168.1.27 TCP_MISS/404 782 GET http://sirabyso.info/key.bin - DIRECT/91.221.98.5 text/html

Les connexions peuvent être établies par winlogon.exe ou explorer.exe

Chose amusante, le fichier n’est pas verrouillé, les antivirus qui le détectent ne devraient donc avoir aucun mal à supprimer le malware.
Le processus n’est pas visible car certainement chargé dans Winlogon.exe.
Un malware qui reste interressant par sa façon d’injecter les divers processus.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 20 times, 1 visits today)

One thought on “Backdoor.Win32.Shiz : un autre stealer qui joue avec les injections

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *