“FIC2018”

Petya : Le malware le plus marquant du mois de juin

0

Chaque début de mois, Doctor Web publie un rapport sur les recherches effectuées par son Laboratoire viral au cours du mois précédent. Ces aperçus viraux mensuels ont pour but de mettre en lumière quelques malwares afin d’en décrire leur fonctionnement et leur vecteur de propagation.

L’événement le plus marquant du mois de juin 2017 est sans surprise l’épidémie causée par le ver-ransomware Trojan.Encoder.12544 également nommé Petya, Petya.A, ExPetya et WannaCry-2. En réalité, ce malware n’a que peu de points communs avec le Trojan Petya (Trojan.Ransom.369) : seule la procédure de chiffrement de fichiers est similaire.

Certains chercheurs ont affirmé qu’il suffisait de créer dans le dossier Windows un fichier perfc pour empêcher le lancement du ransomware, mais les chercheurs de Doctor Web ne souscrivent pas à cette solution. En effet, le ver contrôle son redémarrage selon la présence dans le dossier système d’un fichier dont le nom correspond à celui du Trojan mais sans extension. Néanmoins, il suffit aux attaquants de renommer le fichier malveillant, et la présence du fichier perfc dans le dossier C:\ Windows (comme certains éditeurs antivirus le suggèrent) ne sauvera pas l’ordinateur de l’infection. Il est à noter que le Trojan vérifie la présence du fichier uniquement s’il possède suffisamment de privilèges pour cela dans l’OS.

Par ailleurs, les analystes de Doctor Web estiment que le malware a été initialement conçu, non pour obtenir une rançon, mais pour endommager les ordinateurs infectés : en effet, les auteurs de virus ont utilisé une seule boîte aux lettres qui a été bloquée peu de temps après le début de l’épidémie. De plus, la clé affichée à l’écran de l’ordinateur contaminé représente un jeu de caractères aléatoire et n’a rien à voir avec la clé de chiffrement réelle. Enfin, la clé transmise aux attaquants n’a rien à voir avec la clé utilisée pour chiffrer la table d’allocation des fichiers, donc les auteurs de virus ne sont pas en mesure de fournir à leur victime une clé de déchiffrement du disque.

La source initiale de propagation du Trojan est le système de mises à jour du logiciel MEDoc qui est un outil de comptabilité fiscale populaire en Ukraine.

Suite à une analyse approfondie, il apparaît qu’un un enregistrement correspondant à la clé caractéristique du registre Windows : HKCU\SOFTWARE\WC réside dans un des modules du système de mise à jour de M.E.Doc nommé ZvitPublishedObjects.Server.MeCom. Les chercheurs ont prêté attention à cette clé de Registre en raison du fait que le même chemin est utilisé par le ransomware Trojan.Encoder.12703 . L’analyse des logs Dr.Web sur l’ordinateur d’un des clients de l’éditeur anti-virus a montré que le malware Trojan.Encoder.12703 a été lancé par l’application ProgramData\Medoc\Medoc\ezvit.exe, qui est un composant du programme M.E.Doc.

Le fichier ZvitPublishedObjects.dll demandé depuis la machine contaminée avait le même hachage que l’échantillon examiné au Laboratoire de Doctor Web. Ainsi, les analystes en ont conclu que le module de mise à jour du programme M.E.Doc, réalisé sous forme de la bibliothèque dynamique ZvitPublishedObjects.dll comprend un backdoor. Une enquête plus poussée a révélé que ce backdoor est capable de réaliser dans le système infecté les fonctionnalités suivantes :

  • la collecte de données pour l’accès aux serveurs de messagerie;
  • l’exécution de n’importe quelles commandes dans l’OS contaminé;
  • le téléchargement sur l’ordinateur contaminé de fichiers particuliers;
  • le téléchargement et le lancement de n’importe quels fichiers exécutables;
  • il peut uploader des fichiers vers un serveur distant.

Le fragment suivant du code du module de mise à jour M.E.Doc semble très intéressant, car il permet de lancer une charge dite utile à l’aide de l’utilitaire rundll32.exe accompagné du paramètre #1:

Dans une interview publiée sur le site de l’agence Reuters, les développeurs du programme M.E.Doc ont affirmé que leur application ne contenait pas de fonctionnalités malveillantes.

Compte tenu de cette interview et en prenant en compte les résultats de l’analyse statique du code, les analystes de Doctor Web ont conclu que des pirates non identifiés avaient infecté un des composants M.E.Doc. Ce composant a été ajouté aux bases de données virales Dr.Web sous le nom de BackDoor.Medoc. 

 

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply