W32.Serflog.C

1. Ferme les fenêtres qui contiennent les chaînes suivantes dans leur titre :
   
   
   • ADWARE
   • ALERTS
   • ANTI
   • AUTOSTARTED
   • Avg
   • BENIGN
   • BLOCKER
   • BUG
   • BULLGUARD
   • BUSTER
   • CENTER
   • -CILLIN
   • CLEANER
   • CMD
   • Command
   • DESTROY
   • DETECTION
   • DOCTOR
   • EARTHLINK
   • EDITOR
   • ELIMINATE
   • EYE
   • FIGHT
   • Filter
   • FIREWALL
   • FIX
   • FIXING
   • HEAL
   • HELP
   • HUNTER
   • KERIO
   • Kill
   • LABS
   • LIVEUPDATE
   • MALWARE
   • MALWHERE
   • MCAFEE
   • NETCOP
   • NOD32
   • NORTON
   • PANDA
   • PROMPT
   • PROTECTOR
   • REGISTRY
   • REMOVAL
   • RESTORE
   • SANDBOX
   • SCAN
   • SECURE
   • SECURITY
   • SOPHOS
   • SPY
   • SPYBOT
   • SPYWARE
   • STOPPER
   • SWEEPER
   • TASK
   • TOOL
   • TREND
   • Update
   • VCATCH
   • VIRUS
   • WATCH
   • WORM
     
     Ce qui peut conduire à la désactivation des fonctions suivantes :
     
     
   • Programmes de modification du Registre
   • Ligne de commande
   • Programmes de surveillance de processus
   • Gestionnaire des tâches
     
     
2. Crée le mutex suivant de sorte que seulement une instance du ver soit exécutée sur l'ordinateur compromis :
   
   '-S-K-Y-'-D-E-V-I-L-'
   
   
3. Il définit ses attributs de fichier sur archive, système et caché.
   
   
4. Se copie lui-même comme :
   
   
   • %System%\csnss.exe
   • %System%\mcsv.com
   • %Windows%\svhost.exe
     
     Remarques :
   • % System% est une variable qui fait référence au dossier System. Par défaut, il s'agit de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).
   • Les attributs de fichier sont définis sur archive, système et caché.
     
     
5. Crée les copies suivantes de lui-même :
   
   
   • %SystemDrive%\Death of crazy frog!.pif
   • %SystemDrive%\Hot babe!.pif
   • %SystemDrive%\Really Cute.pif
   • %SystemDrive%\My piccy.pif
   • %SystemDrive%\Bungee-Fuck.pif
   • %SystemDrive%\I_love_you.123greetings.com.com
   • %SystemDrive%\Paris Hilton Sex Tape.pif
   • %SystemDrive%\Shoot Bill Gates!.exe
   • %SystemDrive%\Best_Friend.scr
   • %SystemDrive%\lol Busted Are Gay!.pif
   • %SystemDrive%\Saddam Song!.pif
   • %SystemDrive%\Me at the Beach!.pif
   • %SystemDrive%\l0ser.HTML
     
     Remarques : %SystemDrive% est une variable qui se rapporte au disque sur lequel Windows est installé. Par défaut, il s'agit du disque C.
     
     
6. Ajoute la valeur :
   
   "[Nom de la valeur]" = "[Nom de fichier]"
   
   aux sous-clés de registre :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   de sorte que le ver s'exécute à chaque démarrage de Windows.
   
   Où [Nom de la valeur] est l'une des valeurs suivantes :
   
   
   • NDAv
   • SDAv
     
     et où [nom de fichier] est l'un des noms suivants :
     
     
   • %System%\csnss.exe
   • %Window%\svhost.exe
     
     
7. Ajoute la valeur :
   
   "Userinit" = "%System%\userinit.exe %System%\mcsv.com"
   
   à la clé de registre :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   
   
8. Ajoute les valeurs du registre :
   
   "DisableConfig" = "1"
   "DisableSR" = "1"
   
   à la sous-clé de registre :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
   
   pour désactiver l'option Restauration du système.
   
   
9. Ajoute la valeur :
   
   "NoFolderOptions" = "1"
   
   à la sous-clé de registre :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
   
   
10. Ajoute la valeur :
    
    "Hidden" = "2"
    
    à la sous-clé de registre :
    
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced
    
    
11. Ajoute la valeur :
    
    "NoWindowsUpdate" = "1"
    
    à la sous-clé de registre :
    
    HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Policies\Explorer
    
    
12. Ajoute la valeur :
    
    "AvEnbl"= "0"
    
    à la sous-clé de registre :
    
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSNMessenger
    
    
13. Supprime les sous-clés suivantes de registre :
    
    HKEY_LOCAL_MACHINE\Software\Symantec
    HKEY_LOCAL_MACHINE\Software\McAfee
    HKEY_LOCAL_MACHINE\Software\KasperskyLab
    HKEY_LOCAL_MACHINE\Software\Agnitum
    HKEY_LOCAL_MACHINE\Software\Panda Software
    HKEY_LOCAL_MACHINE\Software\Zone Labs
    
    
14. Supprime les valeurs des sous-clés suivantes de registre :
    
    HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger\"AntiVirus"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"MS_LARISSA"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SpoolSV Manager"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"MSLARISSA"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Command Prompt32"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"(L4r1$$4) (4nt1) (V1ruz)"
    
    
15. Récupère un nom de fichier de la sous-clé suivante de registre et supprime le fichier :
    
    HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger\"AntiVirus"
    
    
16. Crée le fichier %SystemDrive%\10ser.Html dont les attributs sont définis sur archive, caché et système. Le ver ouvre alors ce fichier html pour afficher un fichier .jpg de [domaine supprimé]bill_gates.jpg.
    
    
17. Affiche un compteur qui affiche combien d'ordinateurs ont été compromis par le ver. Le compteur est référencé sur le site Web suivant :
    
    [domaine supprimé] /index.php?u=ffffggggg&s=ainv
    
    
18. Crée un fichier %Windows%\LARISSA you muppet.txt, qui est un fichier texte non malveillant. Le ver affiche ce fichier texte si la date système actuelle est 2, 10, 12, 19, 26, 29 ou 31.
    
    Remarque : Les attributs de fichier sont définis sur archive, système et caché.
    
    
19. Envoie une copie de lui-même à tous les contacts de MSN Messenger employant un des noms de fichiers suivants :
    
    
    • Crazy frog gets killed by train!.pif
    • Annoying crazy frog getting killed.pif
    • See my lesbian friends.pif
    • My new photo!.pif
    • Me on holiday!.pif
    • The Cat And The Fan piccy.pif
    • How a Blonde Eats a Banana...pif
    • Mona Lisa Wants Her Smile Back.pif
    • Topless in Mini Skirt! lol.pif
    • Fat Elvis! lol.pif
    • Jennifer Lopez.scr
      
      
20. Se copie aux dossiers suivants, qui sont employés par diverses applications de partage de fichiers :
    
    
    • %SystemDrive%\My Shared Folder
    • %SystemDrive%\Documents and Settings
    • %SystemDrive%\ProgramFiles\eMule\Incoming
    • %UserProfile%\Shared
      
      Remarque : %UserProfile% est une variable qui se rapporte au dossier profil de l'utilisateur en cours. Par défaut, c'est C:\Documents and Settings\<Utilisateur en cours> (Windows NT/2000/XP).
      
      Le ver se copie aux dossiers ci-dessus en utilisant les noms suivants de fichiers :
      
    • MSN Messenger 7 patch!.exe
    • CE/DP Stealer 2.exe
    • MSN Avatar Display Pack 1.0.exe
      
      Remarque : Les attributs de fichier sont définis sur archive, système et caché.
      
      
21. Termine les processus. Une liste complète des processus supprimés par la menace est donnée dans la section informations complémentaires ci-dessous.
    
    
22. Ajoute le texte suivant au fichier Hosts afin de bloquer l'accès à divers sites Web, dont certains peuvent être liés à la sécurité :
    
    212.58.240.33 www.symantec.com
    212.58.240.33 www.sophos.com
    212.58.240.33 www.mcafee.com
    212.58.240.33 www.viruslist.com
    212.58.240.33 www.f-secure.com
    212.58.240.33 www.avp.com
    212.58.240.33 www.kaspersky.com
    212.58.240.33 www.networkassociates.com
    212.58.240.33 www.ca.com
    212.58.240.33 www.my-etrust.com
    212.58.240.33 www.nai.com
    212.58.240.33 www.trendmicro.com
    212.58.240.33 www.grisoft.com
    212.58.240.33 securityresponse.symantec.com
    212.58.240.33 symantec.com
    212.58.240.33 sophos.com
    212.58.240.33 mcafee.com
    212.58.240.33 liveupdate.symantecliveupdate.com
    212.58.240.33 viruslist.com
    212.58.240.33 f-secure.com
    212.58.240.33 kaspersky.com
    212.58.240.33 kaspersky-labs.com
    212.58.240.33 avp.com
    212.58.240.33 networkassociates.com
    212.58.240.33 ca.com
    212.58.240.33 mast.mcafee.com
    212.58.240.33 my-etrust.com
    212.58.240.33 download.mcafee.com
    212.58.240.33 dispatch.mcafee.com
    212.58.240.33 secure.nai.com
    212.58.240.33 nai.com
    212.58.240.33 update.symantec.com
    212.58.240.33 updates.symantec.com
    212.58.240.33 us.mcafee.com
    212.58.240.33 liveupdate.symantec.com
    212.58.240.33 customer.symantec.com
    212.58.240.33 rads.mcafee.com
    212.58.240.33 trendmicro.com
    212.58.240.33 grisoft.com
    212.58.240.33 sandbox.norman.no
    212.58.240.33 www.pandasoftware.com
    212.58.240.33 uk.trendmicro-europe.com

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

• Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
• Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
• Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
• Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
• Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
• Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
• Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.