Débusqué par les chercheurs de Kespersky, la variante KBOT est une nouvelle itération d’un ancien code malveillant. Ce virus polymorphe est une menace sérieuse, car il est capable de se propager rapidement dans le système et sur le réseau local, en infectant des fichiers exécutables et sans possibilité de récupération.

Nous, médias, avons pris l’habitude de classer dans la catégorie des malwares tout logiciel malveillant, sans faire de distinction entre les différentes classes de code malfaisant. Entre rançongiciels, chevaux de Troie, cryptomineurs, keyloggers et autres malwares destructifs, nous avions presque oublié l’existence des virus. Presque aussi vieux que l’informatique, les virus avaient fini se raréfier puis disparaître du paysage de la délinquance numérique. Ceci jusqu’au 10 février dernier lorsque Kaspersky a annoncé la découverte d’un virus polymorphe baptisé KBOT.

« Nous avons récemment découvert des logiciels malveillants qui se propagent par l’injection de code malveillant dans les fichiers exécutables de Windows, en d’autres termes, un virus. C’est le premier virus “vivant” que nous ayons repéré dans la nature ces dernières années », précise Anna Malina, Senior malware analyst chez Kaspersky.

Un code polymorphe qui cannibalise les fichiers exécutables

KBOT pénètre dans les ordinateurs via les moyens d’infection classiques : Internet ou un réseau local, ou à partir de médias externes infectés. Après le lancement du fichier infecté, le malware commence son processus d’incrustation dans le système. Il commence par s’inscrire dans le fichier de démarrage et dans le planificateur de tâches, puis déploie des injections web pour tenter de voler les données bancaires et personnelles de la victime.

Dans le même but, KBOT peut télécharger des modules voleurs supplémentaires qui récoltent et envoient au serveur de commande et de contrôle (C&C) des informations presque complètes sur l’utilisateur : login/mots de passe, données du cryptoportefeuille, listes de fichiers et d’applications installées, etc. Le logiciel malveillant stocke tous ses fichiers et les données collectées dans un ensemble de fichiers virtuel chiffrés à l’aide de l’algorithme RC6, ce qui le rend difficile à détecter.

Parmi ses effets, KBOT ralentit considérablement le système par des injections dans les processus système, permet à ses gestionnaires de contrôler le système compromis par le biais de sessions de bureau à distance, vole des données personnelles et effectue des injections sur le web dans le but de voler les données bancaires des utilisateurs.

Une infection mortelle pour les systèmes contaminés

Pour assurer sa survie et prendre pied dans le système infecté, KBOT contamine tous les fichiers EXE qui se trouvent dans les lecteurs logiques connectés au système (partitions de disque dur, supports externes). Il ajoute simplement un code malveillant polymorphe au corps du fichier. Une fois le système hôte infecté, le virus assure sa propagation dans le réseau et les lecteurs et fichiers partagés.

Il écoute les événements de connexion des lecteurs logiques locaux et réseau à l’aide de l’interface d’écoute de Windows. Il est même capable d’exécuter une requête système qui opère un balayage récursif des répertoires à la recherche des fichiers EXE. Il récupère les chemins d’accès aux ressources réseau partagées à l’aide des API système d’énumération des ressources visibles dans un domaine, avant d’analyser les répertoires. Enfin, il modifie les paramètres de tous les fichiers PE, le format des exécutables de Windows.

KBOT est une infection mortelle, car les systèmes contaminés ne peuvent être nettoyés sans les rendre inopérants. Alors, attention aux sites qui vous proposent des méthodes de désinfection, ils sont piégés.

Source : Kaspersky