Vundo - Vundo

Le cheval de Troie Vundo (communément appelé Vundo , Virtumonde ou Virtumondo , et parfois appelé MS Juan ) est soit un cheval de Troie, soit un ver informatique connu pour provoquer des fenêtres contextuelles et de la publicité pour des programmes anti-espions malveillants , et sporadiquement d'autres comportements inappropriés, notamment une dégradation des performances. et déni de service avec certains sites Web dont Google et Facebook . Il est également utilisé pour transmettre d'autres logiciels malveillants à ses ordinateurs hôtes. Les versions ultérieures incluent les rootkits et les ransomwares .

Infection

Une infection Vundo est généralement causée soit par l'ouverture d'une pièce jointe à un e-mail contenant le cheval de Troie, soit par divers exploits de navigateur , y compris des vulnérabilités dans les plug-ins de navigateur courants, tels que Java . De nombreuses fenêtres contextuelles annoncent des programmes frauduleux tels que AntiSpywareMaster , WinFixer et AntiVirus 2009.

Virtumonde.dllse compose de deux composants principaux, les objets d'aide du navigateur et l'ID de classe. Chacun de ces composants se trouve dans le registre Windows sous HKEY LOCAL MACHINE et les noms de fichiers sont dynamiques. Il s'attache au système à l'aide de faux objets d'aide au navigateur et de fichiers DLL attachés à winlogon.exe , explorer.exe et plus récemment, lsass.exe .

Vundo insère des entrées de registre pour supprimer les avertissements Windows concernant la désactivation du pare-feu, de l'antivirus et du service de mises à jour automatiques , désactive le service de mises à jour automatiques et le réactive rapidement s'il est réactivé manuellement, et attaque Malwarebytes' Anti-Malware , Spybot Search & Destroy , Lavasoft Ad-Aware , HijackThis et plusieurs autres outils de suppression de logiciels malveillants. Il se cache fréquemment de Vundofix et Combofix . Plutôt que de pousser de faux produits antivirus, les nouvelles fenêtres contextuelles « publicitaires » pour les attaques par téléchargement sont des copies d'annonces de grandes entreprises, truquées de sorte que le simple fait de les fermer permet à l'exploit de téléchargement intempestif d'insérer la charge utile dans l'ordinateur de l'utilisateur.

Symptômes

Comme il existe de nombreuses variétés différentes de chevaux de Troie Vundo, les symptômes de Vundo varient considérablement, allant de relativement bénins à graves. Presque toutes les variétés de Vundo comportent une sorte de publicité contextuelle et s'enracinent pour les rendre difficiles à supprimer.

Les ordinateurs infectés présentent tout ou partie des symptômes suivants :

• Vundo fera apparaître des publicités sur le navigateur Web infecté, dont beaucoup prétendent avoir besoin d'un logiciel pour corriger la "détérioration" du système.
• L'arrière-plan du bureau peut être remplacé par l'image d'une fenêtre d'installation indiquant qu'il y a un logiciel publicitaire sur l'ordinateur.
• L'économiseur d'écran peut être remplacé par l' écran bleu de la mort .
• Dans le panneau de configuration des propriétés d'affichage, les onglets arrière-plan et économiseur d'écran sont manquants car leurs valeurs « Masquer » dans le Registre ont été modifiées en 1.
• L'arrière-plan et l'économiseur d'écran se trouvent tous deux dans le dossier System32, mais l'économiseur d'écran ne peut pas être supprimé.
• Les mises à jour automatiques de Windows (et d'autres services Web) peuvent également être désactivées et il n'est pas possible de les réactiver.
• Les DLL ou fichiers DAT infectés (avec des noms aléatoires tels que "__c00369AB.dat" et "slmnvnk.dll") seront présents dans le dossier Windows/System32 et des références aux DLL seront trouvées au démarrage de l'utilisateur (visibles dans MSConfig) , registre et en tant que modules complémentaires de navigateur dans Internet Explorer .
• Vundo peut tenter d'empêcher l'utilisateur de le supprimer ou d'entraver son fonctionnement, par exemple en désactivant le gestionnaire de tâches, l'éditeur de registre et msconfig, empêchant ainsi le système de démarrer en mode sans échec.
• Certains pare-feu ou logiciels antivirus peuvent également être désactivés par Vundo, laissant le système encore plus vulnérable. Surtout, il désactive Norton AntiVirus et l'utilise à son tour pour propager l'infection. Norton affichera des invites pour activer le filtre de phishing, tout seul. En appuyant sur OK, il essaiera de se connecter à real-av.org et de télécharger plus de logiciels malveillants.
• Les programmes anti-malware populaires tels que Spybot - Search & Destroy ou Malwarebytes peuvent être supprimés ou immédiatement fermés lors du chargement. Renommer l'exécutable du programme peut contourner ce problème. L'exécutable de Malwarebytes peut être supprimé dès son installation (en fonction de l'infection du système). L'installation du programme sur un autre ordinateur et la copie de l'exécutable dans le répertoire Malwarebytes de l'ordinateur infecté fonctionnent généralement aussi.
• L'accès au Web peut également être affecté négativement. Vundo peut rendre de nombreux sites Web inaccessibles.
• Les liens des moteurs de recherche peuvent être redirigés vers des sites de logiciels de sécurité malveillants, ce qui peut être évité en copiant et en collant des adresses.
• MS Juan peut empêcher le chargement des pages Web après les sessions de navigation et présenter une page vierge dans le navigateur au lieu de la page Web. Lorsque cela se produit, tous les programmes peuvent également ne pas démarrer et il peut devenir impossible d'utiliser l'arrêt de Windows.
• Le disque dur peut commencer à être constamment consulté par le processus winlogon.exe, ce qui peut entraîner des blocages périodiques.
• Affichez des fenêtres contextuelles et est également efficace pour injecter des promotions dans les résultats de recherche.
• Des avertissements concernant la non fermeture de SuperMWindow peuvent se produire.
• Explorer.exe peut planter constamment, ce qui entraîne une boucle sans fin de plantage puis de redémarrage.
• Crée un pilote antivirus critique dans C:\Windows\system32\drivers (ati0dgxx.sys).
• Le virus peut « ronger » l'espace disponible sur le disque dur ; l'espace du disque dur peut fluctuer jusqu'à +3 à -3 Go d'espace, ce qui est évident de la tentative de Vundo de "se cacher" lorsqu'il est contrarié.
• Vundo peut entraver la progression du téléchargement.
• Entrer en mode sans échec après avoir tenté d'utiliser HijackThis entraîne un véritable écran bleu de la mort, qui ne peut pas être récupéré sans restaurer les clés de registre supprimées en mode sans échec ou une version réinstallée de Windows.
• Le virus génère parfois une erreur « Exécuter une DLL en tant qu'application » lorsque certaines des DLL nommées au hasard ont été supprimées.
• Le virus réécrira les DLL nommées de manière aléatoire alors que l'une d'entre elles réside sur la machine.
• Le virus modifie les entrées \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et RunOnce pour se lancer automatiquement au démarrage de Windows.
• Le virus installe des logiciels publicitaires qui sont parfois pornographiques.
• Le virus installe des logiciels de sécurité malveillants tels que Desktop Defender 2010 et Security Center avec un fichier .wav indiquant à l'utilisateur que son système est infecté.
• Le virus entraînera la corruption du pilote réseau, ce qui, même après être entré dans l' Éditeur du Registre (regedit.exe), supprimer Winsock 1 et 2 et essayer de réinstaller le pilote est pratiquement impossible.
• Le virus supprime la connexion réseau sous Favoris réseau.

Les références