Trojan.Ascetic.B

1. Se copie lui-même comme :
   
   
   • %Windir%\addins\explorer\csrss.exe
   • %System%\<fichier .exe nommé de façon aléatoire>
   • %Temp%\_[même nom de fichier]
     
     

     ---

     Remarques :
   • %Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows ou C:\Winnt.
   • % System% est une variable qui fait référence au dossier System. Par défaut, il s'agit de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).
   • %Temp% est une variable qui indique l'emplacement du dossier temporaire de Windows. Par défaut, il s'agit de C:\Windows\TEMP (Windows 95/98/Me/XP) ou C:\WINNT\Temp (Windows NT/2000).

     ---

     
     
     
2. Crée les fichiers suivants :
   
   
   • %Windir%\addins\explorer\infectok.iok
   • %Windir%\addins\explorer\jjfggggr.oou
   • %System%\nonrunso.ber
   • %System%\adcmmmmq.hjg
   • %System%\xcvfpokd.tqa
   • %System%\stopruns.zhz
     
     

     ---

     Remarques :
   • jjfggggr.oou est un fichier texte contenant des adresses électroniques recueillies sur l'ordinateur infecté.
     

     ---

     
     
3. Ajoute la valeur :
   
   " SystemDriver" = "%Windir%\addins\explorer\csrss.exe"
   
   à la sous-clé de registre :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   de sorte que Trojan.Ascetic.B s'exécute toujours au démarrage de Windows.
   
   
4. Ajoute la valeur :
   
   "_SystemDriver" = "%Windir%\addins\explorer\csrss.exe"
   
   à la sous-clé de registre :
   
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   
   de sorte que Trojan.Ascetic.B s'exécute à chaque démarrage de Windows.
   
   
5. S'enregistre comme service appelé wscsvc.
   
   
6. Essaie de télécharger le fichier suivant comme systemxx.exe localement et essaie de l'exécuter :
   
   people.freenet.de/wlfkillscx/djhre.sss
   
   
7. Essaie d'utiliser un des serveurs DNS suivants :
   
   
   • 128.135.5.5
   • 202.89.131.4
   • 219.127.89.34
   • 129.115.102.150
   • 38.9.211.2
   • 134.94.80.2
   • 130.149.2.12
   • 150.203.22.28
   • 131.215.254.100
   • 128.194.254.2
   • 216.194.225.70
   • 4.2.2.3
   • 195.185.185.195
   • 209.68.2.46
   • 129.186.1.200
   • 198.6.1.2
   • 131.243.64.3
   • 24.93.40.33
   • 195.182.96.29
   • 192.90.162.8
   • 158.43.128.1
   • 128.35.253.3
   • 61.95.134.168
   • 200.74.214.246
   • 204.117.214.10
   • 194.25.2.129
   • 203.162.0.11
   • 210.66.241.1
   • 217.237.150.225
   • 217.237.151.161
   • 128.9.128.127
   • 151.201.0.39
   • 209.253.113.2
   • 213.239.234.108
   • 62.156.146.242
   • 166.60.12.11
   • 207.69.188.186
   • 207.217.120.43
   • 129.187.10.25
   • 200.52.83.103
   • 129.187.16.1
   • 141.40.10.35
   • 213.218.170.6
   • 203.50.0.137
   • 212.242.88.2
   • 193.158.124.143
     
     pour obtenir l'adresse IP des éléments suivants :
     
     
   • microsoft.com
   • bigfoot.com
   • yahoo.com
   • t-online.de
   • google.com
   • hotmail.com
     
     
8. Termine les processus contenant l'une des chaînes suivantes :
   
   
   • gcip
   • giantanti
   • stinger
   • hijack
   • sober
   • rclean
     
     
9. Essaie de se connecter aux hôtes suivants :
   
   
   • Rolex.PeachNet.edu
   • ntp3.fau.de
   • utcnist.colorado.edu
   • sundial.columbia.edu
   • ri.ntp.carnet.hr
   • ntp-sop.inria.fr
   • rolex.usg.edu
   • time.xmission.com
   • ntp.massayonet.com.br
   • ntp-1.ece.cmu.edu
   • ntp2a.mcc.ac.uk
   • ntp.lth.se
   • cuckoo.nevada.edu
   • ntp-2.ece.cmu.edu
   • time.kfki.hu
   • ntp.pads.ufrj.br
   • time-ext.missouri.edu
   • ntp1.arnes.si
   • time.chu.nrc.ca
   • time-server.ndo.com
     
     
10. Peut afficher l'un des faux messages d'erreur suivants :
    
    
    Objet : Winsock 2.0 Error
    Corps du message :   STOP:0x10020AF {Unknown_blocking}
    Possible Reason: Your "Firewall" is blocking one or more System files
    Check the "Winsock Error Log File" on: C:\WinsockError_log.txt
    
    Objet :   Windows
    Corps du message :   This File is not supported by Microsoft
    
    Objet :  Windows System
    Corps du message :  File-Header not found
    
    
11. Peut créer un fichier inoffensif appelé C:WinsockError_log.txt, qui contient de faux journaux d'erreurs.
    
    
12. Recueille des adresses électroniques dans les fichiers portant les extensions suivantes :
    
    
    • .exe
    • .msi
    • .scr
    • .com
    • .bat
    • .pif
    • .jpg
    • .mp3
    • .mp4
    • .jpeg
    • .png
    • .avi
    • .mpg
    • .mpeg
    • .cmd
      
      
13. Stocke les adresses électroniques rassemblées dans le fichier %Windir%\addins\explorer\jjfggggr.oou.
    
    
14. Envoie des courriers électroniques à quelques adresses électroniques prédéfinies avec les caractéristiques suivantes :
    
    De : [%de%] [%domaine1%] [%domaine2%]
    
    où [%de%] est l'un des éléments suivants :
    
    
    • micha-bedriks
    • t.werter
    • m-poltrock
    • homepage-carsten
    • schwan_nikki
    • harald-lobers
      
      [%domaine1%] est l'un des éléments suivants :
      
      
    • @gmx.
    • @web.
    • @arcor
    • @freenet
      
      [%domaine2%] est l'un des éléments suivants :
      
      
    • de
    • at
    • ch
    • com
    • net
      
      De : [%de%] [%domaine1%] [%domaine2%]
      
      où [%de%] est l'un des éléments suivants :
      
      
    • Heike_Jonnas
    • Nicole_Joo
    • Bendriks-Micha
    • eli.schnuti
    • Thomas_Werter
    • M.Poltrok
    • schenkler-carsti
    • Nikki.Schwan
      
      Objet : [texte généré de façon aléatoire]
      
      Message : [les adresses électroniques que le cheval de Troie recueille sur la machine infectée]
      
      Pièce jointe : [aucune pièce jointe]
      
      
15. Tente de composer n'importe quel numéro de connexion à distance si l'ordinateur n'a pas de connexion Internet active.

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

• Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
• Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
• Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
• Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
• Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
• Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
• Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.