Exemple de fonctionnement d’un Trojan.Clicker

Les Trojans Clicker sont des Trojans qui surfent en « fond » sur des URLs.
Ces derniers se connectent à des sites à l’insu de l’utilisateur.

A quoi cela sert ?
Cela permet d’augmenter de manière artificiel le traffic d’un site WEB, dans le cas d’échanges entre webmaster (Le traffic de mon site est de xxx), mais aussi, de gagner plus d’argent via les publicités sur le site (les rémunérations se faisant à l’affichage ou au clic sur les publicités).

Ce type de Trojans n’est pas nouveau, en témoigne les quelques URLs ci-dessous, mais est en général inconnu des internautes.
A noter que certains peuvent être violents, et donc peut ralentir la connexion WEB du fait qu’ils font trop de requêtes WEB.

Les connexions WEB sont soit effectués par Internet Explorer qui est lancé en embedding (sans fenêtre), l’internaute peut alors voir plusieurs processus iexplorer.exe lancé, très souvent via l’utilisateur SYSTEM.
Soit initialisé par le processus malicieux.

Ici nous allons voir ce Trojan.Clicker : http://www3.malekal.com/malwares/index.php?&url=asdkj198.com
avec un beau FUD à l’heure où sont écrites ces lignes : https://www.virustotal.com/file/c4da66895a9d858a0198340f628e4bfc4dbc39813c2fd65c28165247303b4b76/analysis/1327559532/
Dans ce cas, récupérer par un exploit sur site WEB.

Ce dernier se charge par une simple Clef Run :

O4 – HKCU\..\Run: [lu5yar30] C:\Documents and Settings\Mak\Application Data\lu5yar30.exe 

Les connexions établies (localhost:8888 sont créées par FiddlerCap) :

Ce qui donne ceci au niveau des URLs – des connexions vers des sites pornographiques.
Comme on peux le voir au début, il y a un POST vers l’adresse mpp54.com (72.52.155.58) qui retourne un JavaScript :

On retrouve les URLs mpp54.com et mp3rep.com dans les strings en mémoire du malware :

Les champs du POSTS sont cryptés :

Le JavaScript :

Le contenu est disponible sur pjjoint : http://pjjoint.malekal.com/files.php?read=20120126_n89p7e9f10
Le JavaScript liste les URLs auquelles le Trojan.Clicker (tableau mLinks) doit se connecter puis les liens sur lesquels cliquer sur les pages obtenues.

On peux donc constater à chaque connexion au Javascript une connexion qui s’ensuit vers les urls out.php?p=100

Au niveau des adresses auquelles le Trojan doit se connecter, deux IPs ressortent : 46.105.106.23 et 87.98.226.170 – toutes deux chez OVH.

Ici donc des sites enregistrés dont le traffic est artificiellement générés par des PC infectés par ce Trojan.Clicker.
On peux imaginer que le Trojan.Clicker est distribué par un système d’affiliation et les affiliés sont rémunérés aux taux de connexions vers ces sites WEB.

Ces Trojans ne sont pas dangereux comme peuvent être des stealers, néanmoins cela reste assez ennuyeux d’avoir son PC qui surfent en fond.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 82 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *