Backdoor.Win32.Shiz : un autre stealer qui joue avec les injections

Dernière Mise à jour le

Après les Zbot et Spyeye, les deux stealers plus répandus, je vous présente un nouveau stealer : Backdoor.Win32.Shiz

La détection Backdoor.Win32.Shiz.A est de 2009 chez Kaspersky : http://www.securelist.com/en/descriptions/5178490/Backdoor.Win32.Shiz.a
La détection PWS:Win32/Simda.gen!A  de Microsoft est de Mai 2011 : http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=PWS%3AWin32%2FSimda.gen!A

Ce dernier semble relativement actif chez VirusWatch :

Backdoor.Win32.Shiz_VirusWatch

Injection Winlogon.exe

Le malware joue avec les pendinfiles pour se copier à son emplacement, ici  C:\WINDOWS\apppatch\pgagxd.exe

Process:
   Path: C:\Documents and Settings\Mak\Bureau\files\deb679ce05525877ad2238fde7f68300.exe
   PID: 2428
   Information: Rfpfagteghvj (Frdvicw)
Registry Group: System Critical
Object:
   Registry key: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
   Registry value: PendingFileRenameOperations
      Type: REG_MULTI_SZ
      Value: \??\C:\WINDOWS\apppatch\pgagxd.exe_
             \??\C:\WINDOWS\apppatch\pgagxd.exe
Ce stealer semble spécialisé dans les injections de processus et notamment de winlogon.exe Ci-dessous le dropper prend le contrôle de winlogon.exe


Winlogon.exe ajoute ensuite la clef du registre qui lancera le malware.

Process:
   Path: C:\WINDOWS\system32\winlogon.exe
   PID: 656
   Information: Application d'ouverture de session Windows NT (Microsoft Corporation)
Registry Group: Winlogon
Object:
   Registry key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Registry value: userinit
   New value:
      Type: REG_SZ
      Value: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\pgagxd.exe,
   Previous value:
      Type: REG_SZ
      Value: C:\WINDOWS\system32\userinit.exe,

Backdoor.Win32.Shiz_injection_Winlogon

Le malware prends le contrôle de tous les processus via winlogon.exe afin de les contrôler et voler les informations.

Backdoor.Win32.Shiz_injection_Winlogonexplorer.exe contrôlé par winlogon qui tente d’accéder aux fonctions du clavier



 Le malware fait un POST des informations volées et aussi un get pour obtenir la configuration :

1315318793.371  10607 192.168.1.27 TCP_MISS/200 388 POST http://babyberta.com/gameover2.php - DIRECT/89.208.34.119 application/octet-stream
1315318809.762  26998 192.168.1.27 TCP_MISS/200 388 POST http://babyberta.com/gameover2.php - DIRECT/89.208.34.119 application/octet-stream
1315321547.339    288 192.168.1.27 TCP_MISS/404 782 GET http://sirabyso.info/key.bin - DIRECT/91.221.98.5 text/html

Les connexions peuvent être établies par winlogon.exe ou explorer.exe

Chose amusante, le fichier n’est pas verrouillé, les antivirus qui le détectent ne devraient donc avoir aucun mal à supprimer le malware.
Le processus n’est pas visible car certainement chargé dans Winlogon.exe.
Un malware qui reste interressant par sa façon d’injecter les divers processus.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Backdoor.Win32.Shiz : un autre stealer qui joue avec les injections mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum


Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
Une question informatique ?
Un virus à supprimer ? Votre PC est lent ?
Demander de l'aide sur le forum

Une réponse

  1. backhoff 6 septembre 2011

Laisser un commentaire

0 Partages
Tweetez
Partagez
Enregistrer
Partagez