Les faux antivirus (Rogue AV) sont présents depuis de nombreuses années et tentent d'effrayer les utilisateurs en leur faisant croire que leurs machines sont infectées. Le FBI affirme que le montant des fraudes est supérieur à 150 Millions de dollars, et pour obtenir une telle somme, les cybercriminels sont sans cesse à la recherche de techniques alarmantes et effrayantes pour les utilisateurs.
Cet article présente une technique récente utilisée pour les convaincre d'acheter leur antivirus factice.
Une dll utilisant un packer (loader) polymorphique (pour ralentir l'analyse et empêcher la création d'une simple signature) est injectée dans le gestionnaire des tâches (taskmgr.exe) pour afficher des informations complémentaires sur les processus en mémoire. Nous allons voir en détails comment fonctionne notre dll.
1. Le packer/loader
Notre Rogue n'utilise pas un packer à proprement parler, c'est-à-dire que le fichier à protéger n'est pas modifié…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première