Zlob se propage maintenant par des Exploits sur des sites WEB et notamment en exploitant une faille sur Adobe Reader via des PDF piégés (ce qui est courant depuis quelques mois, voir Infections : exploitation SWF/PDF et Java).
Une fois le PDF exécuté par Adobe (hxxp://svinushka.net/forum/spl/pdf.pdf), ce dernier créé un fichier ~.exe qui est un Trojan.downloader (hxxp://svinushka.net/forum/exe.php)
Ce dernier démarre svchost.exe qui va télécharger le faux codec (utilisé un fichier système Windows pour télécharger le malware permet d'outre-passer les firewall mal configurés).
On reconnait bien l'icône de faux codec du fichier ie3.tmp
En lançant manuellement le codec, on obtient l'interface d'installation avec la dite icone en haut à gauche.
Une fois les codecs installés, l'utilisateur est submergé de fausses alertes de sécurités], page de démarrage modifié.
et l'installation [url=http://forum.malekal.com/viewtopic.php?f=56&t=589]d'un rogue à son insu... en ce moment.. Virus Responsabe Lab 2009
Bref, rien de nouveaux de côté là.
Voici les connexions établies au moment de l'écriture de cette page, les domaines zlob changent régulièrement, ils seront certainement plus d'actualités dans quelques heures/jours.
Code : Tout sélectionner
[code]1224336178.210 353 192.168.1.62 TCP_MISS/200 2890 GET http://svinushka.net/forum/spl/pdf.pdf - DIRECT/209.160.76.41 application/pdf
1224339723.035 459 192.168.1.63 TCP_MISS/200 6801 GET http://svinushka.net/forum/exe.php - DIRECT/209.160.76.41 application/octet-stream
1224339729.798 362 192.168.1.63 TCP_MISS/200 309 GET http://www.leasweek.net/ldr/gate.php?id=50ab9771 - DIRECT/195.24.78.242 text/html
1224339730.729 708 192.168.1.63 TCP_MISS/200 86939 GET http://gigacodec.com/download/load.3259.exe - DIRECT/78.157.142.111 application/octet-stream
1224339723.035 459 192.168.1.63 TCP_MISS/200 6801 GET http://svinushka.net/forum/exe.php - DIRECT/209.160.76.41 application/octet-stream
1224339730.729 708 192.168.1.63 TCP_MISS/200 86939 GET http://gigacodec.com/download/load.3259.exe - DIRECT/78.157.142.111 application/octet-stream
1224340778.845 431 192.168.1.63 TCP_MISS/200 2953 GET http://www.vidsdevices.com/download.php?id=1412 - DIRECT/91.203.92.12 application/octet-stream
1224340781.470 2250 192.168.1.63 TCP_MISS/200 13187 GET http://www.vidsdevices.com/download.php?id=1412 - DIRECT/91.203.92.12 application/octet-stream
1224340883.672 1230 192.168.1.63 TCP_MISS/200 30031 GET http://software-pc-download.net/MSCodecLite.7.20742.exe - DIRECT/66.232.126.193 application/x-msdownload
1224340995.377 1428 192.168.1.63 TCP_MISS/200 86944 GET http://gigacodec.com/download/load.3259.exe - DIRECT/78.157.142.111 application/octet-stream
1224341494.759 1052 192.168.1.90 TCP_MISS/200 13187 GET http://www.vidsdevices.com/download.php?id=1412 - DIRECT/91.203.92.12 application/octet-stream
1224341597.658 4465 192.168.1.90 TCP_MISS/200 1616391 GET http://dl4.takenholiday.com/downloads/1012/vlab_setup.exe - DIRECT/63.217.29.114 application/octet-stream
Deux nouveautés et mauvais côté de cette infection pour l'utilisateur.
Celle-ci créé un fichier autorun.inf qui ouvre le fichier resycled\boot.com
L'infection est donc capable de se transmettre via des disques amovibles
L'infection patche aussi le fichier système Windows userinit.exe
Ce dernier s'exécute au démarrage de la session (et aussi en mode sans échec), le userinit.exe exécute le fichier %System%\stus.exe qui retélécharge tous les Faux Codec via svchost.exe
Ces derniers se réinstallent donc à chaque ouverture de session.
On voit ci-dessous la date du fichier userinit.exe modifiée ainsi qu'un scan VirusTotal, vous pouvez prier pour que votre antivirus ne shoot pas le fichier, sinon vous pouvez dire adieu à votre Windows.
Autre conseil, ne supprimer pas %System%\stus.exe (c'est une copie du userinit.exe non patché), sauf si aimez démarrer Windows avec votre fond d'écran sans icone, ni menu démarrer.
Bref, on voit que les auteurs de Zlob diversifient de plus en plus les moyens de propagations de leurs malwares afin de toucher un maximum d'internautes.