Analysé par: Janus Agcaoili   

 

TrojanDropper:Win32/Rovnix.P (Microsoft), Trojan.Win32.Rovnix (Ikarus), Win32/Rovnix.Z (ESET-NOD32), Trojan.Win32.Rovnix.rg (Kaspersky)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 Infection signalée:
 Information Exposure Rating:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild:
    Oui

  Overview

Voie d'infection: Lâché par un autre malware, Téléchargé à partir d'Internet

Possibilité de téléchargement par d''autres programmes malveillants/graywares/programmes espions depuis des sites distants.

Ce programme malveillant ne comporte pas de routine de propagation.

Ce programme malveillant ne comporte pas de routine de porte dérobée.

Modifie les paramètres de zone d'Internet Explorer.

Cependant, au moment de cette publication, les sites en question sont inaccessibles.

Se connecte à certains sites Web afin d'envoyer et recevoir des informations.

  Détails techniques

File size: 814,080 bytes
File type: EXE
Compression de fichiers Delphi
Memory resident: Oui
Date de réception des premiers échantillons: 11 mai 2016
Charge malveillante: Downloads files, Connects to URLs/IPs, Terminates processes

Précisions sur l'apparition de l'infection

Possibilité de téléchargement par les programmes malveillants/graywares/programmes espions suivants depuis des sites distants :

Installation

Introduit une copie de lui-même dans les dossiers suivants en utilisant différents noms de fichier :

  • "%Application Data%\BackUp{Volume ID}.exe"

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.)

Introduit les fichiers/composants suivants :

  • %User Temp%\L{Volume ID}
  • %User Temp%\NTFS.sys
  • %User Temp%\tmp{random characters}.tmp
  • %System%\BOOT.dat

(Remarque : %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000, XP et Server 2003.. %System% est le dossier système de Windows, le plus souvent C:\Windows\System sous Windows 98 et ME, C:\WINNT\System32 sous Windows NT et 2000 ou C:\Windows\System32 sous Windows XP et Server 2003.)

Introduit et exécute les fichiers suivants :

  • %Application Data%\Microsoft\Crypto\RSA\RSA{Volume ID}.dll <- component responsible for downloading other ROVNIX components

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.)

Ajoute les algorithmes Mutex suivants afin d''éviter que plusieurs de ses duplicats ne s''exécutent simultanément :

  • Global\INSNTFS{Volume ID}
  • Global\UACNTFS{Volume ID}
  • Global\BDNTFS{Volume ID}

Technique de démarrage automatique

Ajoute les entrées de registre suivantes afin de s'exécuter automatiquement à chaque démarrage système :

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
BackUp{Volume ID} = "%Application Data%\BackUp{Volume ID}.exe"

Ajoute et exécute les services suivants :

  • Service Name: BS{Volume ID}
    Display Name: BS{Volume ID}
    Start Type: SERVICE_DEMAND_START
    Binary Pathname: %User Temp%\NTFS.sys

(Remarque : %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000, XP et Server 2003.)

Crée les entrées de registre suivantes afin d''exécuter automatiquement le composant déposé chaque fois que le système démarre :

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
RSA{Volume ID} = "%System%\rundll32.exe "%Application Data%\Microsoft\Crypto\RSA\RSA{Volume ID}.dll",DllInitialize"

Autres modifications du système

Ajoute les entrées de registre suivantes :

HKEY_CURRENT_USER\Software\Microsoft\
Installer\Products\B{Volume ID}
LP = "%User temp%\L{Volume ID}"

HKEY_CURRENT_USER\Software\Microsoft\
Installer\Products\B{Volume ID}
ID = "-- default --"

HKEY_CURRENT_USER\Software\Microsoft\
Installer\Products\B{Volume ID}
SH1 = "{C&C server}"

HKEY_CURRENT_USER\Software\Microsoft\
Installer\Products\B{Volume ID}
SH2 = "{C&C server}"

HKEY_CURRENT_USER\Software\Microsoft\
Installer\Products\B{Volume ID}
SH3 = "{C&C server}"

HKEY_CURRENT_USER\Software\Microsoft\
Installer\Products\B{Volume ID}\
PLUGIN
{CRC32 string} = "{Encrypted code of a binary file}"

Propagation

Ce programme malveillant ne comporte pas de routine de propagation.

Routine de portes dérobées

Ce programme malveillant ne comporte pas de routine de porte dérobée.

Interruption de processus

Met fin aux processus suivants exécutés au niveau de la mémoire du système affecté :

  • iexplore.exe

Modification de la page d'accueil et de la page de recherche du navigateur Web

Modifie les paramètres de zone d'Internet Explorer.

Routine de téléchargement

Télécharge une mise à jour de lui-même à partir des sites Web suivants :

  • http://{BLOCKED}roke.com/17635908.zip

Cependant, au moment de cette publication, les sites en question sont inaccessibles.

Autres précisions

Se connecte au site Web suivant afin d''envoyer et recevoir des informations :

  • http://{BLOCKED}roke.com/cgi-bin/240216/post.cgi
  • http://{domain name}/login.asp
  • http://{domain name}/images/transparent.gif
  • http://{domain name}/images/pixel.gif
  • http://{domain name}/images/logout.gif
  • Where {domain name} can be any of the following:
    • {BLOCKED}roke.com
    • {BLOCKED}roke2.com
    • {BLOCKED}roke3.com
    • {BLOCKED}atlyhwq.onion
    • {randomly generated domain}.ru
    • {randomly generated domain}.com
    • {randomly generated domain}.net
    • {randomly generated domain}.biz

  Solutions

Moteur de scan minimum: 9.8
First VSAPI Pattern File: 12.520.05
First VSAPI Pattern Release Date: 11 mai 2016
VSAPI OPR Pattern Version: 12.521.00
VSAPI OPR Pattern Release Date: 12 mai 2016

Step 1

En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.

Step 4

Redémarrage en mode sans échec

[ suite ]

Step 5

Désactivation du service de ce programme malveillant

[ suite ]
  • BS{Volume ID}

Step 6

Supprimer cette clé de registre

[ suite ]

Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.

  • In HKEY_CURRENT_USER\Software\Microsoft\Installer\Products
    • B{Volume ID}

Step 7

Supprimer cette valeur de registre

[ suite ]

Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • RSA{Volume ID} = "%System%\rundll32.exe "%Application Data%\Microsoft\Crypto\RSA\RSA{Volume ID}.dll",DllInitialize"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • BackUp{Volume ID} = "%Application Data%\BackUp{Volume ID}.exe"

Step 8

Recherche et suppression de ces fichiers

[ suite ]
Il se peut que certains fichiers de composants soient cachés. Assurez-vous que la case Rechercher dans les fichiers et les dossiers cachés est cochée dans les "Options avancées" afin que les fichiers et dossiers cachés soient inclus dans les résultats de la recherche.
  • %User Temp%\L{Volume ID}
  • %User Temp%\NTFS.sys
  • %User Temp%\tmp{random characters}.tmp
  • %System%\BOOT.dat
  • %Application Data%\Microsoft\Crypto\RSA\RSA{Volume ID}.dll
DATA_GENERIC_FILENAME_1
  • Dans la liste déroulante Regarder dans, sélectionnez Poste de travail, puis appuyez sur entrée.
  • Une fois localisé, sélectionnez le fichier et appuyez sur MAJ+SUPPR pour effacer le fichier de manière définitive.
  • Répétez les étapes 2 à 4 pour les fichiers restants :
      • %User Temp%\L{Volume ID}
      • %User Temp%\NTFS.sys
      • %User Temp%\tmp{random characters}.tmp
      • %System%\BOOT.dat
      • %Application Data%\Microsoft\Crypto\RSA\RSA{Volume ID}.dll
  • Step 9

    Redémarrez en mode normal et effectuez un scan de l"ordinateur à l"aide de votre produit Trend Micro afin de rechercher les fichiers détectés comme étant TROJ_ROVNIX.PC Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.

    Step 10

    Rétablissement des paramètres de sécurité Internet

    [ suite ]

    Step 11

    Télécharger et appliquer ces patchs de sécurité Évitez d’utiliser ces produits tant que les patchs appropriés n’ont pas été installés. Trend Micro recommande aux utilisateurs de télécharger les patchs critiques dès leur publication par les distributeurs.


    Participez à notre enquête!