Le malware codé en JavaScript qui éteint votre ordinateur

By | October 12, 2016

Le malware codé en JavaScript qui éteint votre ordinateur

Des chercheurs de la firme Kahu Security ont découvert un malware codé en JavaScript, qui détourne la page d’accueil de votre navigateur et qui est capable d’éteindre votre système si vous essayez d’arrêter son processus.

Des variantes de ce malware ont déjà été vues online en 2014, mais aucune d’entre elles n’était aussi agressive que leur toute dernière version.

Le malware est notamment propagé via les pièces jointes aux spams et est exécuté par Windows Script Host, l’exécuteur de fichier JavaScript de Windows.

En regardant dans le code source du malware, des utilisateurs non avertis n’y verraient que des caractères aléatoires.
En effet, selon les experts de Kahu Security, le script a été obfusqué pour cacher sa charge utile réelle qui une série d’opérations qui change les réglages du système d’exploitation. En plus de la technique d’obfuscation, les auteurs du script ont utilisé des caractères codés, des expressions régulières (regex), des conversions à base inhabituelle (base33) et des déclarations conditionnelles.

Après avoir décodé le code source, les chercheurs ont pu comprendre la série d’opérations que le script effectuait:

1-Tout d’abord, le script crée un nouveau dossier dans le répertoire AppDataRoaming et le cache en utilisant une clé de registre. Puis, il copie l’application de Windows wscript.exe et le colle dans le dossier créé et lui donne un nom aléatoire.

2-Le script se copie à l’intérieur du dossier et crée un raccourci vers lui même qu’il nomme Start et le place dans le dossier “Startup” accessible via le menu démarrer Windows.
Il s’auto-assigne une fausse icône de dossier parmi les raccourcis dans le but de faire croire à l’utilisateur qu’il est un dossier et non un fichier.

Raccourci Start

3-Le script vérifie ensuite si une connexion Internet est active en essayant d’accéder aux sites de Microsoft, Google ou Bing. Il envoie des données télémétriques à urchintelemetry.com, télécharge et exécute un fichier crypté provenant de l’adresse 95.153.31.22.

4-Le fichier crypté est un autre fichier JavaScript qui règle la page d’accueil de votre navigateur à login.hhtxnet.com qui redirige les utilisateurs vers un autre site portalne.ws.

5-Ce dernier script utilise WMI (Windows Management Instrumentation) pour s’assurer que des logiciels de sécurité du système n’interférera pas avec ses tâches. Si l’un des logiciels de sécurité ci-dessous est en cours d’exécution, il forcera son arrêt avec un faux message d’erreur pour tromper l’utilisateur.

logiciels de sécurité

6-Si la victime trouve le script et essaie de le stopper via le gestionnaire de tâche, le script exécutera une commande qui éteindra immédiatement l’ordinateur.

Pour se débarasser du malware, il est conseillé de démarrer le système en mode sans échec, d’enlever ensuite le lien installé dans le dossier Startup et de supprimer le dossier situé dans le répertoire Roaming.

mdestroy

Source: Kahusecurity.com

Leave a Reply

Your email address will not be published. Required fields are marked *