Il s'apelle InvisiMole, d'après ESET il serrai actif depuis 2013.

Déjà qualifier comme étant un des meilleurs Spyware jamais observer, il aurais infecté un peux moins d'une vingtaine d'ordinateur en Russie et en Ukraine. 

 

Ce qui aurais permis au virus de tenir si longtemps sans être détecté, c'est de puissant module de camouflage et un système bien rodé pour se dissimulé.

 

Le virus possède 3 module.

Le premier module est un DLL wrapper, il se cache en tend que DLL légitime dans le dossier Windows, se faisant passer pour mpr.dll, ou fxsst.dll ou encore winmm.dll.

Comme il se trouve dans le même dossier que'explorer.exe, la DLL est chargée au démarrage de Windows.

Il existe une version 32 bits, et une version 64. La persistance est fonctionnelle sur les deux type d'architecture.

La DLL lance un test pour vérifier qu'elle a bien été exécuter avec des processus tel que rundll32.exe, et explorer.exe, ou bien avec svchost.exe, il lache alors ces charges utiles, deux autres modules.

 

Un second module (RC2FM), permet d'espionner le propriétaire de l'ordinateur infecté, par la webcam et le microphone.
Ce qui est enregistré par le microphone est enregistré en .mp3.

Il récupère des informations sur le système (adresse IP, MAC, DNS, SSID), puis compare a une base de donnée pour suivre la position géographique de sa victime.

Il fais aussi des captures d'écran (même des captures d'écran d'arrière plan, voir même fenêtre par fenêtre).

Si un disque est brancher sur la machine infecté, il le détecte, liste les fichiers présent a l'intérieur et les enregistre dans un fichier crypté.

Toutes les données piraté sont alors compresser par WinRAR, et protéger par un mot de passe.
Le module peux également supprimer ces propres fichiers, afin d'effacer les traces.

Il possède un petit système de Remote Administrator Tool supportant environ 15 commandes, dont des commandes pour envoyé les données au pirate.

 

Le virus lance également un troisième module (RC2CL), lui aussi a un système de Remote Administrator Tool. Plus performant et plus complet que c'elle de RC2FM, avec 84 commandes.

Il peux changer la configuration du système (registre etc), accéder au disque dur, créer modifier et supprimer des fichier.
Le virus peux également rechercher les fichiers récemment créer/utiliser par le propriétaire de la machine infecté.

Il a la possibilité de lancé des Sheels, listé et contrôler application, processus et services.

RC2CL peux désactivé ça fonction RAT et se transformé en Proxy...
Il désactive aussi le pare-feu Windows.
RC2CL deviens alors un serveur proxy, facilitant communication avec les serveurs de contrôle...
C'est du génie, et c'est la première fois qu'une tel technique est utilisé sur un virus!

 

Les vecteurs d'infection ne sont pas très claire, on pense a une infection live (présence physique), ou alors par mail, par des campagnes de phishing... Cette dernière option est peux envisageable compte tenue du fait que le virus est été envoyé sur des cibles spécifique.

 

Un petit tour du coté des adresses IP lié au virus:
185.118.66.163
185.118.67.233
185.156.173.92
194.187.249.157
213.239.220.41
46.165.230.241
46.165.231.85
46.165.241.129
46.165.241.153
78.46.35.74
95.215.111.109

Les serveurs de contrôle connu:
activationstate.sytes.net
advstatecheck.sytes.net
akamai.sytes.net
statbfnl.sytes.net
updchecking.sytes.ne

Et les signatures du virus:
5EE6E0410052029EAFA10D1669AE3AA04B508BF9
2FCC87AB226F4A1CC713B13A12421468C82CD586
B6BA65A48FFEB800C29822265190B8EAEA3935B1
C8C4B6BCB4B583BA69663EC3AED8E1E01F310F9F
A5A20BC333F22FD89C34A532680173CBCD287FF8

Bon, on vas être claire in.

Ce virus n'a cibler depuis 2013 qu'une dizaine d'ordinateur. Je parlais d'attaque cibler, elle l'est et c'est ce qui explique qu'il n'a été détecté que récemment par les IAs d'ESET.

 

Il y a peux de risque qu'il débarque sur votre ordinateur, mais je tenais tout de même a en parler car si il n'a pas de module de propagation (worm), si il en avais un il aurais fait un carton.