W32.HLLW.Gaobot.gen

1. Il se copie dans le dossier %System%. Les noms de fichiers varient et sont souvent choisis pour ressembler aux noms de fichiers système légitimes de Windows. Par exemple : Csrrs.exe, Scvhost.exe, System.exe, explored.exe ou lms.exe.
   
   Divers autres noms de fichiers sont également utilisés. L'attaquant peut programmer les noms de fichiers et les actions que le ver doit exécuter.
   
   

   ---

   Remarque : %System% est une variable. Le ver détermine l'emplacement du dossier System et se copie à cet emplacement. Par défaut, il s'agit de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).

   ---

2. Il ajoute une valeur sous la forme :
   
   "<nom de la clé>" = "<nom de fichier du ver>"
   
   Par exemple :
   
   • "Configuration Loader" = "Service.exe"
   • "Windows Login" = "lms.exe"
     
     Aux clés de registre :
     
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
     RunServices
     
     De sorte que le ver s'exécute au démarrage de Windows.
     
3. Il peut éventuellement créer un service pour le ver, et le configurer de telle sorte qu'il s'exécute automatiquement au démarrage. Pour cela, le ver crée une clé de registre :
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<nom du service>
   
   

   ---

   Remarque : Les valeurs utilisées pour <nom du service> sont généralement x4, a3 ou MpR. D'autres valeurs peuvent cependant être utilisées.

   ---

4. Il se connecte à un serveur IRC en utilisant son propre client IRC, puis il écoute à l'attente des commandes suivantes :
   
   • Télécharger et exécuter des fichiers
   • Dérober des informations système
   • Envoyer le ver à d'autres utilisateurs IRC
   • Ajouter de nouveaux comptes
   • Réaliser des attaques de type déni de service (DoS)
     
5. Il tente de se propager sur d'autres ordinateurs en utilisant de nombreuses vulnérabilités. Parmi lesquelles :
   
   • Vulnérabilité DCOM RPC (décrite dans le Bulletin de sécurité Microsoft MS03-026) utilisant le port TCP 135.
   • Vulnérabilité WebDav (décrite dans le Bulletin de sécurité Microsoft MS03-007) utilisant le port TCP 80.
   • La vulnérabilité de saturation de la mémoire tampon dans le service Station de travail (décrite dans le Bulletin de sécurité Microsoft MS03-049) en utilisant le port TCP 445.
   • Les utilisateurs de Windows XP sont protégés si le Bulletin de sécurité Microsoft MS03-043 a été appliqué. Les utilisateurs de Windows 2000 doivent appliquer MS03-049.
   • Vulnérabilité de débordement de tampon dans le service Affichage des messages de Microsoft (décrite dans le Bulletin de sécurité Microsoft MS03-043).
   • Vulnérabilité du service Locator (décrite dans le Bulletin de sécurité Microsoft MS03-001) utilisant le port TCP 445. Le ver vise en particulier les postes Windows 2000 utilisant cet exploit.
   • Vulnérabilité UPnP (décrite dans le Bulletin de sécurité Microsoft MS01-059).
   • Vulnérabilités de l'audit Microsoft SQL Server 2000 ou MSDE 2000 (décrites dans le Bulletin de sécurité Microsoft MS02-061), utilisant le port UDP 1434.
   • Les ports de porte dérobée ouverts par les familles de vers Beagle et Mydoom.
     
6. Il tente de se connecter aux partages réseau. Pour cela, il utilise des combinaisons nom d'utilisateur/mot de passe faciles à deviner, y compris des mots de passe vides.
   
   Voici quelques exemples :
   
   • admin$
   • c$
   • d$
   • e$
   • print$
     
     Lisez l'article sur W32.HLLW.Gaobot.AA pour consulter la liste des noms d'utilisateur et mots de passe.
     
7. Il se copie sur tout ordinateur compromis en utilisant les exploits précisés plus haut.
   
8. Il programme une tâche à distance afin d'exécuter le ver sur un ordinateur nouvellement infecté.
   
9. Il interroge le registre pour dérober les clés de CD de divers jeux.
   
10. Il termine les processus des programmes antivirus ou de pare-feu, ainsi que les processus dont les noms sont associés à d'autres vers.
    
11. Il est possible que certaines variantes récentes de Gaobot ajoutent des entrées au fichier %System%\drivers\etc\hosts afin de désactiver l'accès à certains sites web antivirus.
    
12. Lisez l'article sur W32.Gaobot.ZW pour obtenir une liste d'entrées pouvant être ajoutées au fichier Hosts.

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

• Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
• Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
• Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
• Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
• Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
• Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
• Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.