W32.Kelvir.D

1. Envoie le message suivant à tous contacts de MSN Messenger sur l'ordinateur compromis :
   
   Corps du message : haha look at us http://[domain removed]/youandme.pif
   
   Remarque : Le lien doit être cliqué, le fichier téléchargé puis être exécuté. Le fichier youandme.pif est une copie du ver. C'est un fichier rar auto-extractible.
   
   
2. Il dépose les fichiers suivants :
   
   
   • %Program Files%\Adware\Link.exe
   • %Program Files%\Adware\f.exe - une variante de W32.Spybot.Worm
     
     Remarque : %Program Files% est une variable. Elle se rapporte au dossier dans lequel Windows installe des applications, et se trouve habituellement sur le même disque sur lequel le système d'exploitation est installé. Par défaut C:\Program Files.
     
     
3. Copie W32.Spybot.Worm comme %System%\nvsc32.exe et définit les attributs de fichier sur caché, lecture seule et système.
   
   Remarque : % System% est une variable qui fait référence au dossier System. Par défaut, il s'agit de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).
   
   
4. Ajoute la valeur :
   
   "NvCplScan" = "nvsc32.exe"
   
   aux sous-clés de registre :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
   RunServices
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
   HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
   HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce
   
   de sorte que W32.Spybot.Worm s'exécute à chaque démarrage de Windows.
   
   
5. Crée un service avec les propriétés suivantes :
   
   Nom du service : NvCplScan
   Nom d'affichage : NvCplScan
   Chemin de l'exécutable : %System32%\nvsc32.exe -netsvcs
   
   
6. Essaie de se propager en exploitant les vulnérabilités suivantes :
   
   
   • Vulnérabilité DCOM RPC (décrite dans le bulletin de sécurité de Microsoft MS03-026) en utilisant le port TCP 135.
   • La saturation de la mémoire tampon dans le service Local Security Authority de Microsoft Windows (décrite dans le bulletin de sécurité de Microsoft MS04-011).
     

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

• Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
• Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
• Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
• Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
• Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
• Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
• Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.