Cet article décrit le malware Blame. Ce malware est un Remote Administration Tool (RAT) qui permet de prendre la main sur les systèmes infectés. La plus ancienne version identifiée dans la nature date de 2012, et la plus récente de cette année. Ce malware est donc utilisé depuis plus deux ans. Cet article décrit le dropper, ainsi que l’astuce mise en place par le développeur pour tromper les analystes. Il traite également des systèmes d'obfuscation mis en place.
1. Le dropper
Le dropper dépose sur le système 4 fichiers :
- %TMP%\Jus1.tmp ;
- %TMP%\lts2.tmp ;
- %TMP%\Jus3.tmp ;
- %TMP%\lgt4.tmp.
Les 2 premiers fichiers sont en fait des « .reg ». Leur but est de modifier des valeurs de clé de registre. Le premier permet de supprimer la clé suivante : HKCU\System\CurrentControlSet\Services\AppMgmt.
Cette clé de registre est légitime, elle permet de gérer le service AppMgmt (gestion d'application). Cependant, le système fonctionnera sans problème sans ce service. Le second fichier a pour but de recréer le service AppMgmt. Voici un extrait du fichier lts2.tmp :
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
