Trojan.Vundo

Trojan.Vundo se compose de quatre éléments :

1. Du code HTML qui exploite la vulnérabilité de débordement de tampon IFRAME d'Internet Explorer (décrite dans le bulletin de sécurité de Microsoft MS04-040).
2. Un composant de téléchargement.
3. Un logiciel publicitaire.
4. Un module DLL installé par le logiciel publicitaire.
   
   

Le code HTML exploite la vulnérabilité de débordement de tampon IFRAME d'Internet Explorer (décrite dans le bulletin de sécurité de Microsoft MS04-040) et tente de télécharger et d'exécuter le fichier C:\bla.exe de l'adresse 83.149.86.132. Il s'agit du composant de téléchargement du cheval de Troie.

Lorsque le cheval de Troie est exécuté sur l'ordinateur infecté, il effectue les opérations suivantes :

1. Crée un fichier .exe dont le nom est formé des chaînes suivantes :
   
   • abr
   • av
   • anti
   • ac
   • acc
   • ad
   • ap
   • as
   • bin
   • bas
   • bak
   • cab
   • cat
   • cmd
   • com
   • cr
   • c
   • drv
   • db
   • disk
   • dll
   • dns
   • dos
   • doc
   • dvd
   • eula
   • exp
   • fax
   • font
   • ftp
   • hard
   • iis
   • img
   • inet
   • info
   • ip
   • java
   • kb
   • key
   • lib
   • log
   • main
   • ms
   • mc
   • mfc
   • mp3
   • msvc
   • net
   • nut
   • odbc
   • ole
   • pc
   • ps
   • play
   • ras
   • reg
   • run
   • sys
   • srv
   • svr
   • svc
   • s
   • tapi
   • tcp
   • task
   • un
   • url
   • util
   • vb
   • vga
   • vss
   • xml
   • wave
   • web
   • w
   • win
   • wms
     
     
     Enregistre et exécute le fichier ci-mentionné dans l'un des répertoires suivants :
     
   • %Windir%\addins
   • %Windir%\AppPatch
   • %Windir%\assembly
   • %Windir%\Config
   • %Windir%\Cursors
   • %Windir%\Driver Cache
   • %Windir%\Drivers
   • %Windir%\Fonts
   • %Windir%\Help
   • %Windir%\inf
   • %Windir%\java
   • %Windir%\Microsoft.NET
   • %Windir%\msagent
   • %Windir%\Registration
   • %Windir%\repair
   • %Windir%\security
   • %Windir%\ServicePackFiles
   • %Windir%\Speech
   • %Windir%\system
   • %Windir%\system32
   • %Windir%\Tasks
   • %Windir%\Web
   • %Windir%\Windows Update Setup Files
   • %Windir%\Microsoft\
     
     Remarque : %Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows ou C:\Winnt.
     
     
2. Il supprime la valeur :
   
   "*MS Setup"
   
   de la clé de registre :
   
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
   
   
3. Ajoute la valeur :
   
   "*WinLogon" = "[nom de fichier et chemin d'accès du cheval de Troie] ren time:[chiffre aléatoire]"
   
   à la clé de registre :
   
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
   
   
4. Crée l'entrée de registre suivante :
   
   HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Active State
   
   
5. Tente de télécharger et d'exécuter un fichier de l'adresse IP 62.4.84.41.
   
   Le fichier téléchargé est un module publicitaire composé d'une DLL intégrée.
   
   
6. Stocke la liste d'URL et peut essayer d'envoyer une requête HTTP à l'une des adresses IP suivantes :
   
   • 62.4.84.53
   • 62.4.84.56
     
     
7. Dépose la DLL intégrée comme %Temp%\[nom inversé du cheval de Troie].dat.
   
   
8. Ajoute la DLL intégrée à l'espace d'adressage de plusieurs processus en cours d'exécution et à chaque processus exécuté après l'apparition de la menace.
   
   
9. Crée les fichiers temporaires suivants, qui ne sont pas malveillants :
   
   • [nom inversé du cheval de Troie].bak1
   • [nom inversé du cheval de Troie].bak2
   • [nom inversé du cheval de Troie].ini
     
     
10. Ajoute la valeur :
    
    "*[nom de fichier du cheval de Troie]" = "[chemin d'accès du cheval de Troie] rerun"
    
    à la clé de registre :
    
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
    
    
11. Ajoute la valeur :
    
    "[Default value]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"
    
    aux clés de registre :
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents\CLSID
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents.1\CLSID
    
    
12. Crée les entrées de registre suivantes :
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
    Browser Helper Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2353FCBC-012D-487B-8BF3-865C0929FBEB} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLDistrib.ATLDistrib\CLSID\
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLDistrib.ATLDistrib.1\CLSID\
    HKEY_USERS\S-1-5-21-2068663838-1736639611-1443527720-500\Software\Microsoft\Windows
    \CurrentVersion\Ext\Stats\{2353FCBC-012D-487B-8BF3-865C0929FBEB}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22E85F2A-4A67-4835-B2C3-C575FE4EC322}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADOUsefulNet.ADOUsefulNet
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADOUsefulNet.ADOUsefulNet.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22E85F2A-4A67-4835-B2C3-C575FE4EC322}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DE8BDE42-16D9-4CCC-9F4F-1C3167B82F60}
    HKEY_CLASSES_ROOT\CLSID\{DE8BDE42-16D9-4CCC-9F4F-1C3167B82F60}
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPCUpdater.DPCUpdater
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPCUpdater.DPCUpdater.1
    
    
13. Affiche des publicités sur l'ordinateur infecté.
    
    
14. Redémarre le composant publicitaire si le cheval de Troie détecte qu'il a cessé de fonctionner.
    
    
15. Après redémarrage, le cheval de Troie est exécuté avec le paramètre "rerun" (cf. étape 10). Si le cheval de Troie est exécuté avec ce paramètre, il ajoute la valeur :
    
    "*[nom du cheval de Troie]" = "[chemin d'accès du cheval de Troie]"
    
    à la clé de registre :
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    
    
16. Affecte les performances de l'ordinateur en réduisant la quantité de mémoire virtuelle disponible. C'est la conséquence de l'exploitation de la vulnérabilité de débordement de tampon IFRAME d'Internet Explorer (décrite dans le bulletin de sécurité de Microsoft MS04-040).

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

• Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
• Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
• Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
• Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
• Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
• Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
• Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.

Résumé