W32.Serflog.A

1. Peut désactiver ce qui suit :
   
   
   • Programmes de modification du Registre
   • Ligne de commande
   • Programmes de surveillance de processus
   • Gestionnaire des tâches
     
     
2. Ferme les fenêtres qui contiennent les chaînes suivantes dans leur titre :
   
   
   • ADWARE
   • ALERTS
   • ANTI
   • AUTOSTARTED
   • Avg
   • BENIGN
   • BLOCKER
   • BUG
   • BULLGUARD
   • BUSTER
   • CENTER
   • -CILLIN
   • CLEANER
   • CMD
   • Command
   • DESTROY
   • DETECTION
   • DOCTOR
   • EARTHLINK
   • EDITOR
   • ELIMINATE
   • EYE
   • FIGHT
   • Filter
   • FIREWALL
   • FIX
   • FIXING
   • HEAL
   • HELP
   • HUNTER
   • KERIO
   • Kill
   • LABS
   • LIVEUPDATE
   • MALWARE
   • MALWHERE
   • MCAFEE
   • NETCOP
   • NOD32
   • NORTON
   • PANDA
   • PROMPT
   • PROTECTOR
   • REGISTRY
   • REMOVAL
   • RESTORE
   • SANDBOX
   • SCAN
   • SECURE
   • SECURITY
   • SOPHOS
   • SPY
   • SPYBOT
   • SPYWARE
   • STOPPER
   • SWEEPER
   • TASK
   • TOOL
   • TREND
   • Update
   • VCATCH
   • VIRUS
   • WATCH
   • WORM
     
     
3. Crée le mutex suivant de sorte que seulement une instance du ver soit exécutée sur l'ordinateur compromis :
   
   '-F-u-c-k-'-Y-o-u-'
   
   
4. Crée les copies cachées suivantes de lui-même :
   
   
   • %System%\formatsys.exe
   • %System%\serbw.exe
   • %Windir%\msmbw.exe
   • %SystemDrive%\Crazy frog gets killed by train!.pif
   • %SystemDrive%\Annoying crazy frog getting killed.pif
   • %SystemDrive%\See my lesbian friends.pif
   • %SystemDrive%\LOL that ur pic!.pif
   • %SystemDrive%\My new photo!.pif
   • %SystemDrive%\Me on holiday!.pif
   • %SystemDrive%\The Cat And The Fan piccy.pif
   • %SystemDrive%\How a Blonde Eats a Banana...pif
   • %SystemDrive%\Mona Lisa Wants Her Smile Back.pif
   • %SystemDrive%\Topless in Mini Skirt! lol.pif
   • %SystemDrive%\Fat Elvis! lol.pif
   • %SystemDrive%\Jennifer Lopez.scr
   • %SystemDrive%\lspt.exe
   • %UserProfile%\Local Settings\Application Data\Microsoft\CD Burning\autorun.exe
     
     Notes:
   • % System% est une variable qui fait référence au dossier System. Par défaut, il s'agit de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).
   • %Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows (Windows 95/98/Me/XP) ou C:\Winnt (Windows NT/2000).
   • %SystemDrive% est une variable qui se rapporte au disque sur lequel Windows est installé. Par défaut, il s'agit du disque C.
   • %UserProfile% est une variable qui se rapporte au dossier profil de l'utilisateur en cours. Par défaut, c'est C:\Documents and Settings\<Utilisateur en cours> (Windows NT/2000/XP).
     
     
5. Dépose les fichiers cachés suivants :
   
   
   • %SystemDrive%\British National Party.jpg
   • %SystemDrive%\Crazy-Frog.Html
   • %SystemDrive%\Message to n00b LARISSA.txt
     
     
6. Ouvre une fenêtre de navigateur et affiche le fichier Crazy-Frob.Html
   
   
7. Affiche le fichier Message to n00b LARISSA.txt dans le bloc-notes.
   
   
8. Supprime le fichier suivant, s'il existe :
   
   %SystemDrive%\MESSAGE_TO_BROPIA.txt
   
   
9. Ajoute la valeur :
   
   "[Valeur]" = "[nom de fichier]"
   
   aux sous-clés de registre :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
   RunServices
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
   \Explorer\Run
   HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run
   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
   \Explorer\Run
   
   de sorte que le ver s'exécute à chaque démarrage de Windows.
   
   Où [valeur] est l'une des valeurs suivantes :
   
   
   • serpe
   • ltwob
   • avnort
     
     et où [nom de fichier] est l'un des noms suivants :
     
     
   • %System%\formatsys.exe
   • %System%\serbw.exe
   • %Windir%\msmbw.exe
     
     
10. Envoie une copie de lui-même à tous les contacts de MSN Messenger employant un des noms de fichiers suivants :
    
    
    • Crazy frog gets killed by train!.pif
    • Annoying crazy frog getting killed.pif
    • See my lesbian friends.pif
    • My new photo!.pif
    • Me on holiday!.pif
    • The Cat And The Fan piccy.pif
    • How a Blonde Eats a Banana...pif
    • Mona Lisa Wants Her Smile Back.pif
    • Topless in Mini Skirt! lol.pif
    • Fat Elvis! lol.pif
    • Jennifer Lopez.scr
      
      
11. Se copie aux dossiers suivants, qui sont employés par diverses applications de partage de fichiers :
    
    
    • %SystemDrive%\My Shared Folder
    • %UserProfile%\Shared
    • %ProgramFiles%\Program Files\eMule\Incoming
      
      Le ver se copie aux dossiers ci-dessus en utilisant les noms suivants de fichiers :
      
      
    • Messenger Plus! 3.50.exe
    • MSN all version polygamy.exe
    • MSN nudge bomb.exe
      
      
12. Ajoute le texte :
    
    OPEN=autorun.exe
    
    au fichier suivant :
    
    %SystemDrive%\Documents and Settings\[nom d'utilisateur]\Local Settings\Application Data\Microsoft\CD Burning\autorun.inf
    
    
13. Termine les processus suivants :
    
    
    • apvxdwin.exe
    • atupdater.exe
    • aupdate.exe
    • autodown.exe
    • autotrace.exe
    • autoupdate.exe
    • avconsol.exe
    • avengine.exe
    • avsynmgr.exe
    • avwupd32.exe
    • avxquar.exe
    • bawindo.exe
    • blackd.exe
    • ccapp.exe
    • ccevtmgr.exe
    • ccproxy.exe
    • ccpxysvc.exe
    • cfiaudit.exe
    • cmd.exe
    • defwatch.exe
    • drwebupw.exe
    • escanh95.exe
    • escanhnt.exe
    • firewall.exe
    • frameworkservice.exe
    • icssuppnt.exe
    • icsupp95.exe
    • luall.exe
    • lucoms~1.exe
    • mcagent.exe
    • mcshield.exe
    • mcupdate.exe
    • mcvsescn.exe
    • mcvsrte.exe
    • mcvsshld.exe
    • msconfig.exe
    • msdev.exe
    • navapsvc.exe
    • navapw32.exe
    • nisum.exe
    • nopdb.exe
    • nprotect.exe
    • nupgrade.exe
    • ollydbg.exe
    • outpost.exe
    • pavfires.exe
    • pavproxy.exe
    • pavsrv50.exe
    • peid.exe
    • petools.exe
    • regedit.exe
    • reshacker.exe
    • rtvscan.exe
    • rulaunch.exe
    • savscan.exe
    • shstat.exe
    • sndsrvc.exe
    • symlcsvc.exe
    • taskmgr.exe
    • Update.exe
    • updaterui.exe
    • vpupd.exe
    • vshwin32.exe
    • vsstat.exe
    • vstskmgr.exe
    • w32dasm.exe
    • winhex.exe
    • wscript.exe
      
      
14. Ajoute le texte suivant au fichier Hosts afin de bloquer l'accès à divers sites Web, dont certains peuvent être liés à la sécurité :
    
    64.233.167.104 www.symantec.com
    64.233.167.104 www.sophos.com
    64.233.167.104 www.mcafee.com
    64.233.167.104 www.viruslist.com
    64.233.167.104 www.f-secure.com
    64.233.167.104 www.avp.com
    64.233.167.104 www.kaspersky.com
    64.233.167.104 www.networkassociates.com
    64.233.167.104 www.ca.com
    64.233.167.104 www.my-etrust.com
    64.233.167.104 www.nai.com
    64.233.167.104 www.trendmicro.com
    64.233.167.104 www.grisoft.com
    64.233.167.104 securityresponse.symantec.com
    64.233.167.104 symantec.com
    64.233.167.104 sophos.com
    64.233.167.104 mcafee.com
    64.233.167.104 update.symantec.com
    64.233.167.104 liveupdate.symantecliveupdate.com
    64.233.167.104 viruslist.com
    64.233.167.104 f-secure.com
    64.233.167.104 kaspersky.com
    64.233.167.104 kaspersky-labs.com
    64.233.167.104 avp.com
    64.233.167.104 nai.com
    64.233.167.104 networkassociates.com
    64.233.167.104 ca.com
    64.233.167.104 mast.mcafee.com
    64.233.167.104 my-etrust.com
    64.233.167.104 download.mcafee.com
    64.233.167.104 dispatch.mcafee.com
    64.233.167.104 secure.nai.com
    64.233.167.104 updates.symantec.com
    64.233.167.104 us.mcafee.com
    64.233.167.104 liveupdate.symantec.com
    64.233.167.104 customer.symantec.com
    64.233.167.104 rads.mcafee.com
    64.233.167.104 trendmicro.com
    64.233.167.104 grisoft.com
    64.233.167.104 sandbox.norman.no
    64.233.167.104 www.pandasoftware.com
    64.233.167.104 uk.trendmicro-europe.com
    
    
15. Modifie les valeurs suivantes :
    
    "DisableConfig" = "0"
    "DisableSR" = "0"
    
    dans la clé de registre :
    
    HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore
    
    pour désactiver l'option Restauration du système.

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

• Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
• Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
• Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
• Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
• Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
• Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
• Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.