||||
Symantec.com > Security Response > W32.Spybot.Worm
IMPRIMEZ CETTE PAGE

W32.Spybot.Worm

Niveau de risque 2 : Faible

Version imprimable

Détecté : 16 Avril 2003
Mis à jour : 13 Février 2007 12:25:00 PM
Egalement appelé : Worm.P2P.SpyBot.gen [Kaspersky, W32/Spybot-Fam [Sophos], W32/Spybot.worm.gen [McAfee], WORM_SPYBOT.GEN [Trend], Win32.Spybot.gen [Computer Ass
Type : Ver
Etendue de l'infection : Variable
Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP


Lorsque W32.Spybot.Worm s'exécute, il agit ainsi :
  1. Il se copie dans le dossier %System%. Certaines variantes peuvent avoir l'un des noms de fichiers suivants :
    • Bling.exe
    • Netwmon.exe
    • Wuamgrd.exe

      Remarque       : %System% est une variable. Le ver détermine l'emplacement du dossier System et se copie à cet emplacement. Par défaut, il s'agit de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).
  2. Il peut créer et partager un dossier sur le réseau de partage de fichiers Kazaa , en ajoutant la valeur de registre suivante :

    "dir0" = "012345:[CHEMIN CONFIGURABLE]"

    à la clé de registre :

    HKEY_CURRENT_USER\SOFTWARE\KAZAA\LocalContent
  3. Il se copie sur le chemin configuré avec des noms de fichiers destinés à tromper d'autres utilisateurs et les conduire à télécharger et exécuter le ver.
  4. Il peut être configuré pour réaliser des attaques de type déni de service (DoS) sur des serveurs définis.
  5. Il peut être configuré pour terminer les processus de produits de sécurité.
  6. Il se connecte à des serveurs IRC prédéfinis et rejoint un canal pour y recevoir des commandes. On compte parmi les commandes :
    • Rechercher des ordinateurs vulnérables
    • Télécharger ou transférer des fichiers
    • Lister ou terminer les processus en cours d’exécution
    • Dérober les mots de passe en cache
    • Enregistrer les frappes de clavier afin de dérober les informations saisies dans les fenêtres dont les titres contiennent les chaînes suivantes :
      • bank
      • login
      • e-bay
      • ebay
      • paypal

    • Démarrer un serveur HTTP, FTP, ou TFTP local
    • Rechercher des fichiers sur l’ordinateur compromis.
    • Faire des copies d’écrans, récupérer des données dans le presse-papiers et des séquences vidéo des webcams
    • Visiter des URL
    • Vider les caches DNS et ARP
    • Ouvrir une commande shell sur l’ordinateur compromis
    • Intercepter des paquets sur le réseau local LAN
    • Envoyer des messages ou non
    • Se copier dans de nombreux dossiers de démarrage Windows codés en dur, comme par exemple :

      • Documents and Settings\All Users\Menu Start\Programma's\Opstarten
      • WINDOWS\All Users\Start Menu\Programs\StartUp
      • WINNT\Profiles\All Users\Start Menu\Programs\Startup
      • WINDOWS\Start Menu\Programs\Startup
      • Documenti e Impostazioni\All Users\Start Menu\Programs\Startup
      • Dokumente und Einstellungen\All Users\Start Menu\Programs\Startup
      • Documents and Settings\All Users\Start Menu\Programs\Startup


        Remarque : Il a été signalé à Symantec Security Response que des variantes de ce ver créent des fichiers de zéro octet dans le dossier Démarrage. Ces fichiers pourraient être nommés TFTP780 ou TFTP###, où # peut représenter un nombre quelconque.
  7. Il ajoute une valeur de registre variable à une ou plusieurs des sous-clés de registre suivantes :


    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunOnce
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    RunServices
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Shell Extensions
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    RunServices
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    RunOnce
    HKEY_CURRENT_USER\Software\Microsoft\OLE


    Par exemple :

    "Microsoft Update" = "wuamgrd.exe"

    ou

    "Microsoft Macro Protection Subsystem" = "bling.exe"
  8. Peut créer une sous-clé aléatoire contenant des données aléatoires dans la sous-clé suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE

    Par exemple, il peut ajouter la valeur :

    "{0BCDA1A6641FB859F}" = "bb 75 8e 3b 04 ae 16 5c 7f 68 ef 02 ed f6 0e 26 86 73 e3 30 bd"

    à la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\The Silicon Realms Toolworks\Armadillo
  9. Peut créer une sous-clé aléatoire dans la sous-clé suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
  10. Peut modifier l’une des valeurs suivantes :

    "EnableDCOM" = "Y"
    "EnableDCOM"     = "N"

    dans la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE

    qui active ou désactive les paramètres DCOM, en fonction de la commande de l’attaquant.
  11. Peut modifier la valeur :

    "restrictanonymous" = "1"

    dans la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

    afin de restreindre l’accès au réseau.
  12. Peut modifier la valeur :

    "Start" = "4"

    dans les sous-clés de registre :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger

    afin de désactiver divers services.
  13. Peut modifier les valeurs :

    "AutoShareWks" = "0"
    "AutoShareServer" = "0"

    dans les sous-clés de registre :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
    lanmanserver\parameters
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
    lanmanworkstation\parameters
  14. Peut modifier la valeur :

    "DoNotAllowXPSP2" = "1"

    dans la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
    WindowsUpdate

    afin d’empêcher l’installation de Windows XP SP2 sur l’ordinateur compromis.
  15. Peut modifier la valeur :

    "AUOptions" = "1"

    dans la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    WindowsUpdate\AutoUpdate
  16. Peut modifier les valeurs :

    "UpdatesDisableNotify" = "1"
    "AntiVirusDisableNotify" = "1"
    "FirewallDisableNotify" = "1"
    "AntiVirusOverride" = "1"
    "FirewallOverride" = "1"

    dans la sous-clé de registre suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

    afin de désactiver Microsoft Security Center.
  17. Peut modifier la valeur :

    "EnableFirewall" = "0"

    dans les clés de registre :
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
    DomainProfile
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
    StandardProfile

    pour désactiver le Pare-feu de Windows XP.
  18. Peut modifier les entrées de registre afin de désactiver des services :

    Par exemple :

    • wscsvc
    • Tlntsvr
    • RemoteRegistry
    • Messenger
  19. Peut envoyer des informations confidentielles, comme par exemple le système d’exploitation, l’adresse IP, le nom d’utilisateur, etc., au serveur IRC.
  20. Peut ouvrir une porte dérobée sur un port aléatoire.
  21. Peut créer des sous-clés afin de s’enregistrer lui-même comme un service.

    Par exemple :

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BoolTern
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_BOOLTERN
  22. Peut déposer un fichier de pilote de périphérique nommé %System%\haxdrv.sys.
  23. Peut démarrer un serveur proxy pour le protocole HTTP, SOCKS4, ou SMTP.
  24. Peut analyser le réseau à la recherche de ports.
  25. Peut tenter de se connecter aux serveurs MS SQL dont les mots de passe Administrateur ou SA ne sont pas sûrs, et parvenir à se copier sur l’ordinateur avec succès. Les mots de passe suivants pourraient être appliqués afin d'essayer l’'authentification auprès du serveur distant.

    • null
    • Rendszergazda
    • Beheerder
    • amministratore
    • hallintovirkailijat
    • Administrat
    • Administrateur
    • administrador
    • Administrador
    • administrator
    • Administrator
    • ADMINISTRATOR
    • Password
    • password
    • admin
    • 123

  26. Pourrait être en mesure d’énumérer les comptes sur l’ordinateur et de désactiver la constante d’autorisation "SeNetworkLogonRight" afin de refuser explicitement à un compte le droit de se connecter en utilisant le type d’ouverture de session réseau.
  27. Pourrait tenter d’énumérer les utilisateurs afin de se copier lui-même sur les partages réseau. Les mots de passe suivants pourraient être appliqués afin d'essayer l’'authentification auprès du partage distant :

    • 007
    • 123
    • 1234
    • 12345
    • 123456
    • 1234567
    • 12345678
    • 123456789
    • 1234567890
    • 2000
    • 2001
    • 2002
    • 2003
    • 2004
    • access
    • accounting
    • accounts
    • adm
    • administrador
    • administrat
    • administrateur
    • administrator
    • admins
    • amministratore
    • asd
    • backup
    • beheerder
    • bill
    • bitch
    • blank
    • bob
    • brian
    • changeme
    • chris
    • cisco
    • compaq
    • computer
    • control
    • data
    • database
    • databasepass
    • databasepassword
    • db1
    • db1234
    • db2
    • dba
    • dbpass
    • dbpassword
    • default
    • dell
    • demo
    • domain
    • domainpass
    • domainpassword
    • eric
    • exchange
    • fred
    • fuck
    • george
    • god
    • guest
    • hallintovirikailijat
    • hell
    • hello
    • home
    • homeuser
    • ian
    • ibm
    • internet
    • intranet
    • jen
    • joe
    • john
    • kate
    • katie
    • lan
    • lee
    • linux
    • login
    • loginpass
    • luke
    • mail
    • main
    • mary
    • mike
    • neil
    • nokia
    • none
    • null
    • oem
    • oeminstall
    • oemuser
    • office
    • oracle
    • orainstall
    • outlook
    • owner
    • pass
    • pass1234
    • passwd
    • password
    • password1
    • peter
    • pwd
    • qaz
    • qwe
    • qwerty
    • rendszergazda
    • sam
    • server
    • sex
    • siemens
    • slut
    • sql
    • sqlpassoainstall
    • staff
    • student
    • sue
    • susan
    • system
    • teacher
    • technical
    • test
    • unix
    • user
    • web
    • win2000
    • win2k
    • win98
    • windows
    • winnt
    • winpass
    • winxp
    • www
    • wwwadmin
    • zxc

      Remarque : Cette étape pourrait conduire au verrouillage de comptes d'utilisateurs suite à l'échec de multiples tentatives d'authentification.
  28. Pourrait se propager en exploitant les vulnérabilités suivantes :
    • La vulnérabilité DCOM RPC (décrite dans le Bulletin de sécurité Microsoft MS03-026) utilisant le port TCP 135.
    • La Vulnérabilité LSASS (décrite dans le Bulletin de sécurité Microsoft MS04-011) utilisant les ports TCP 135, 139 ou 445.
    • Les vulnérabilités de l'audit Microsoft SQL Server 2000 ou MSDE 2000 (décrites dans le Bulletin de sécurité Microsoft MS02-061), utilisant le port UDP 1434.
    • La vulnérabilité WebDav (décrite dans le Bulletin de sécurité Microsoft MS03-007) utilisant le port TCP 80.
    • La vulnérabilité de saturation de mémoire tampon UPnP NOTIFY (décrite dans le Bulletin de sécurité Microsoft MS01-059).
    • La vulnérabilité de saturation de la mémoire tampon dans le service Station de travail (décrite dans le Bulletin de sécurité Microsoft MS03-049) en utilisant le port TCP 445.
    • Les utilisateurs de Windows XP sont protégés si le correctif du Bulletin de sécurité Microsoft MS03-043 a été appliqué. Les utilisateurs de Windows 2000 doivent appliquer le correctif du Bulletin de sécurité Microsoft MS03-049.
    • La vulnérabilité de déni de service dans la bibliothèque Microsoft SSL de Microsoft Windows (décrite dans le Bulletin de sécurité Microsoft MS04-011).
    • La vulnérabilité de saturation de la mémoire tampon dans VERITAS Backup Exec Agent Browser (voir la description ici).
    • La vulnérabilité de saturation de la mémoire tampon de Microsoft Windows Plug and Play (décrite dans le Bulletin de sécurité de Microsoft MS05-039).
    • Vulnérabilité de saturation de la mémoire tampon dans le service Serveur de Microsoft Windows (décrite dans le bulletin de sécurité de Microsoft MS06-040).
    • Augmentation des privilèges de Symantec Client Security et Symantec AntiVirus (décrite dans l’avis de sécurité de Symantec SYM06-010).
  29. Pourrait télécharger et exécuter des fichiers distants, y compris des mises à jour du ver.
  30. Pourrait vérifier s’il s’exécute sous le contexte d’un debugger ou VMWare. Le ver quitte immédiatement si c’est le cas.
  31. Pourrait déposer Hacktool.Rootkit afin de cacher le ver dans la liste des processus et enregistrer l’outil de piratage comme un service.

    Par exemple, il pourrait déposer rdriv.sys et créer les sous-clés suivantes :

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\rdriv
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_RDRIV


Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

  • Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
  • Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
  • Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
  • Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
  • Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
  • Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
  • Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.

Ecrit par : Douglas Knowles
Economisez jusqu'à 20% avec un abonnement de 2 ans.
©1995 - 2009 Symantec Corporation
Plan du site|
Mentions légales|
Politique de confidentialité|
Nous contacter|
Symantec dans le monde|
Contrats de licences

** L'achat en ligne des Produits Symantec s'effectue depuis le site édité et exploité par un revendeur agréé, la succursale anglaise de la Société Digital River Inc.