Dans le précédent numéro de MISC (51), je présentais l'analyse d'un packer customisé servant à protéger le malware Zeus. Pour se propager, celui-ci est maintenant installé par un autre malware, le virus Murofet. Cet article présente les techniques d'infection d'exécutables PE, ainsi que la génération de domaines pseudo aléatoires.
1. L'infection d'exécutables
Le virus Murofet est utilisé pour infecter des exécutables Win32 PE. Contrairement à un virus classique, les exécutables infectés ne seront pas en mesure d'infecter d'autres fichiers. En effet, la routine insérée dans chaque exécutable infecté est dépourvue de mode de reproduction. Ces fichiers stériles ont pour but de télécharger et d'installer Zeus à partir de noms de domaines générés en fonction de la date système. L'algorithme est détaillé dans la seconde partie de l'article.
1.1 Résidence Mémoire
Pour trouver et infecter les fichiers à infecter, le virus Murofet est résident en mémoire…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première