W32.Kelvir.BF

1. Se copie comme %Windir%\svchoste.exe.
   
   

   ---

   Remarque : %Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows ou C:\Winnt.
   

   ---

   
   
2. Ajoute la valeur :
   
   "Windows Host Service" = "%Windir%\svchoste.exe"
   
   aux sous-clés de registre :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   
   de sorte qu'il soit exécuté à chaque démarrage de Windows.
   
   
3. Envoie un des messages suivants à tous les contacts de MSN Messenger sur l'ordinateur compromis :
   
   
   • :D:D wow check it
   • :):) haha, this is cool
   • (L) you check what i made
   • :P Great stuff
   • OMG :D This IS GREAT
   • BLA :D BLABLA, im bored, look what i made.
     
     Le message contient également l'un des liens suivants :
     
     
   • checkthis.ubb.cc
   • checkthis.dd.vg
   • checkthis.100mbitde.info
   • check.100mbitde.info
   • OMG.100mbitde.info
     
     
4. Lorsque l'utilisateur clique sur le lien, il redirige le navigateur vers l'adresse IP 65.75.134.170 et télécharge services.exe, qui est une copie de W32.Spybot.Worm.
   
   
5. Accède à la page "n?id=ADWTRAXnG2VDHToDo8SE/+JBkjnw" sur le domaine m1.nedstatbasic.net, qui peut être utilisé comme compteur d'infection.
   
   
6. Termine les processus suivants, dont certains peuvent être liés à la sécurité :
   
   
   • ALOGSERV.EXE
   • ACKWIN32.EXE
   • ADVXDWIN.EXE
   • ALERTSVC.EXE
   • AMON9X.EXE
   • ANTI-TROJAN.EXE
   • ANTS.EXE
   • APVXDWIN.EXE
   • ATCON.EXE
   • ATUPDATER.EXE
   • ATWATCH.EXE
   • AUTODOWN.EXE
   • AVCONSOL.EXE
   • AVE32.EXE
   • AVGCC32.EXE
   • AVGCTRL.EXE
   • AVGSERV.EXE
   • AVGSERV9.EXE
   • AVGW.EXE
   • AVKSERV.EXE
   • AVNT.EXE
   • AVP32.EXE
   • AVPCC.EXE
   • AVPDOS32.EXE
   • AVPM.EXE
   • AVPTC32.EXE
   • AVPUPD.EXE
   • AVSCHED32.EXE
   • AVSYNMGR.EXE
   • AVWIN95.EXE
   • AVWINNT.EXE
   • AVWUPD32.EXE
   • AVXMONITOR9X.EXE
   • AVXMONITORNT.EXE
   • AVXQUAR.EXE.EXE
   • AVXW.EXE
   • AgentSvr.exe
   • AutoTrace.exe
   • Avgctrl.exe
   • Avsched32.exe
   • BLACKD.EXE
   • BLACKICE.EXE
   • CFIADMIN.EXE
   • CFIAUDIT.EXE
   • CFINET.EXE
   • CFINET32.EXE
   • CLAW95.EXE
   • CLAW95CF.EXE
   • EVPN.EXE
   • CLEANER.EXE
   • CLEANER3.EXE
   • CMGRDIAN.EXE
   • CONNECTIONMONITOR.EXE
   • CPD.EXE
   • CPDCLNT.EXE
   • DEFWATCH.EXE
   • DOORS.EXE
   • DVP95.EXE
   • DVP95_0.EXE
   • ECENGINE.EXE
   • EFPEADM.EXE
   • ESAFE.EXE
   • ESPWATCH.EXE
   • ETRUSTCIPE.EXE
   • EXPERT.EXE
   • F-AGNT95.EXE
   • F-PROT.EXE
   • F-PROT95.EXE
   • F-STOPW.EXE
   • FINDVIRU.EXE
   • FP-WIN.EXE
   • FPROT.EXE
   • FRW.EXE
   • GENERICS.EXE
   • GUARD.EXE
   • GUARDDOG.EXE
   • IAMAPP.EXE
   • IAMSERV.EXE
   • IBMASN.EXE
   • VET95.EXE
   • IBMAVSP.EXE
   • ICLOAD95.EXE
   • ICLOADNT.EXE
   • ICMON.EXE
   • ICSUPP95.EXE
   • ICSUPPNT.EXE
   • IFACE.EXE
   • IOMON98.EXE
   • ISRV95.EXE
   • InoRT.exe
   • InoRpc.exe
   • InoTask.exe
   • JEDI.EXE
   • LDNETMON.EXE
   • LDPROMENU.EXE
   • LDSCAN.EXE
   • LOCKDOWN.EXE
   • LOCKDOWN2000.EXE
   • LOOKOUT.EXE
   • LUALL.EXE
   • LUCOMSERVER.EXE
   • MCAGENT.EXE
   • MCMNHDLR.EXE
   • MCSHIELD.EXE
   • MCTOOL.EXE
   • MCUPDATE.EXE
   • MCVSRTE.EXE
   • MCVSSHLD.EXE
   • MGAVRTCL.EXE
   • MGAVRTE.EXE
   • MGHTML.EXE
   • MINILOG.EXE
   • MONITOR.EXE
   • MOOLIVE.EXE
   • MPFTRAY.EXE
   • MWATCH.EXE
   • N32SCANW.EXE
   • NAVAPSVC.EXE
   • NAVAPW32.EXE
   • NAVLU32.EXE
   • NAVNT.EXE
   • NAVW32.EXE
   • NAVWNT.EXE
   • NDD32.EXE
   • VET32.EXE
   • NETUTILS.EXE
   • NISSERV.EXE
   • NISUM.EXE
   • NMAIN.EXE
   • NORMIST.EXE
   • NPROTECT.EXE
   • NPSSVC.EXE
   • NSCHED32.EXE
   • NTVDM.EXE
   • NTXconfig.exe
   • NUPGRADE.EXE
   • NVC95.EXE
   • NWService.exe
   • NWTOOL16.EXE
   • Navapw32.exe
   • NeoWatchLog.exe
   • Nui.EXE
   • PADMIN.EOUTPOST.EXE
   • PADMIN.EXE
   • PAVCL.EXE
   • PAVSCHED.EXE
   • PAVW.EXE
   • PCCIOMON.EXE
   • PCCWIN98.EXE
   • PCFWALLICON.EXE
   • PERSFW.EXE
   • POP3TRAP.EXE
   • POPROXY.EXE
   • PORTMONITOR.EXE
   • PROCESSMONITOR.EXE
   • PVIEW95.EXE
   • RAV7.EXE
   • RAV7WIN.EXE
   • REALMON.EXE
   • RESCUE.EXE
   • RTVSCN95.EXE
   • Realmon.exe
   • SAFEWEB.EXE
   • SCAN32.EXE
   • SCAN95.EXE
   • SCANPM.EXE
   • SCRSCAN.EXE
   • SERV95.EXE
   • SMC.EXE
   • SPHINX.EXE
   • SPYXX.EXE
   • SS3EDIT.EXE
   • SWEEP95.EXE
   • SWNETSUP.EXE
   • SYMPROXYSVC.EXE
   • SYMTRAY.EXE
   • SymProxySvc.exe
   • TBSCAN.EXE
   • TC.EXE
   • TCA.EXE
   • TCM.EXE
   • TDS-3.EXE
   • TDS2-98.EXE
   • TDS2-NT.EXE
   • TFAK.EXE
   • VETTRAY.EXE
   • VIR-HELP.EXE
   • VPC32.EXE
   • VPTRAY.EXE
   • VSCAN40.EXE
   • VSCHED.EXE
   • VSECOMR.EXE
   • VSHWIN32.EXE
   • VSMAIN.EXE
   • VSMON.EXE
   • VSSTAT.EXE
   • VbCons.exe
   • WATCHDOG.EXE
   • WEBSCANX.EXE
   • WEBTRAP.EXE
   • WFINDV32.EXE
   • WGFE95.EXE
   • WIMMUN32.EXE
   • WRADMIN.EXE
   • WRCTRL.EXE
   • ZAPRO.EXE
   • ZONEALARM.EXE
   • _AVP32.EXE
   • _AVPCC.EXE
   • _AVPM.EXE
   • apvxdwin.exe
   • avkpop.exe
   • avkservice.exe
   • avkwctl9.exe
   • defscangui.exe
   • fameh32.exe
   • fch32.exe
   • fih32.exe
   • fnrb32.exe
   • fsaa.exe
   • fsav32.exe
   • fsgk32.exe
   • fsm32.exe
   • fsma32.exe
   • fsmb32.exe
   • gbmenu.exe
   • gbpoll.exe
   • iamapp.exe
   • netstat.exe
   • nisum.exe
   • ntrtscan.EXE
   • nvsvc32.exe
   • pavproxy.exe
   • pccntmon.EXE
   • pccwin97.EXE
   • pcscan.EXE
   • regedit.exe
   • sbserv.exe
   • sscansvc.exe
   • taskmgr.exe
   • vbcmserv.exe
   • vsmon.exe
   • zapro.exe
   • zonealarm.exe
   • ping.exe
   • cmd.exe
   • tracert.exe
   • mirc.exe
   • services.msc
     
     
7. Termine les services suivants, dont certains peuvent être liés à la sécurité :
   
   
   • MCAFEE
   • WEBSCANX
   • ANTIVIR
   • TrueVector Internet Monitor
   • Norton AntiVirus Client
   • CFINET
   • wscsvc
   • SharedAccess
   • Event Log
   • Zonealarm
   • SAFEWEB
   • Norton Antivirus Auto Protect Service
   • Norton Internet Security Accounts Manager
   • Norton Internet Security Proxy Service
   • Norton Internet Security Service
   • Norton AntiVirus Server
   • Norton AntiVirus Auto Protect Service
   • CFINET32
   • Symantec AntiVirus Client
   • McShield
   • IPSEC Policy Agent
   • DefWatch
   • WMDM PMSP Service
   • Symantec Proxy Service
   • Symantec Event Manager
   • Norton AntiVirus Corporate Edition
   • ViRobot Professional Monitoring
   • AVP.EXE
   • ViRobot Expert Monitoring
   • savroam
   • symantec antivirus
   • ViRobot Lite Monitoring
   • PC-cillin Personal Firewall
   • Trend Micro Proxy Service
   • Trend NT Realtime Service
   • McAfee.com McShield
   • eTrust Antivirus Realtime Server
   • McAfee.com VirusScan Online Realtime Engine
   • McAfee Agent
   • SyGateService
   • Sygate Personal Firewall Pro
   • Sophos Anti-Virus
   • Sophos Anti-Virus Network
   • Ahnlab Task Scheduler
   • eTrust Antivirus Job Server
   • LOCKDOWN2000
   • ICMON
   • eTrust Antivirus RPC Server
   • V3MonNT
   • V3MonSvc
   • Quick Heal Online Protection
   • Kaspersky
   • Kaspersky Anti-Virus
   • Kaspersky Antivirus
   • Kaspersky Client
   • kaspersky auto protect service
   • kav
   • AVG6 Service
   • AVP32
   • NORTON
   • NVC95
   • FP-WIN
   • IOMON98
   • PCCWIN98
   • F-PROT95
   • F-STOPW
   • PVIEW95
   • NAVWNT
   • NAVRUNR
   • NAVLU32
   • NAVAPSVC
   • NISUM
   • SYMPROXYSVC
   • RESCUE32
   • NISSERV
   • ATRACK
   • IAMAPP
   • LUCOMSERVER
   • LUALL
   • NMAIN
   • NAVW32
   • NAVAPW32
   • VSSTAT
   • VSHWIN32
   • AVSYNMGR
   • AVCONSOL
   • WEBTRAP
   • POP3TRAP
   • PCCMAIN
   • PCCIOMON
   • MonSvcNT
   • rising process communication center
   • rising realtime monitor service
   • Windows Firewall
   • OfficeScanNT Monitor
   • RemoteAgent
   • Panda Antivirus
   • ZoneAlarm
   • Detector de OfficeScanNT
   • Norton Internet Security Proxy Srvice
   • Norton Internet Security service
   • Sygate Personal Firewall
   • Security Center
   • nvscv
   • Windows Internet Connection Sharing(ICS)
   • NAV Alert
   • NAV Auto-Protect
   • ScriptBlocking Service
   • Background Intelligent Transfer Service
   • System Event Notification
   • BlackICE
   • AVSync Manager
   • officescannt realtime scan
   • officescannt listener
   • services32 service: msinit
   • msinit
   • AVP control center service
   • KAV Moniter Service
   • P2P Networking
   • gear security
   • MastDLL
   • MsInt
   • MsIntScan
   • FireBall
   • FireBaum
   • Eventask
   • fxsvc
   • InternetFirewallProc
   • Serv-U
   • mcafee framework service
   • task manager
   • mcshield
   • config loader
   • iroff
   • servu
   • secur2
   • avast! iavs4 control service
   • avast! antivirus
   • fix-it task manager
   • dllhost
   • dns
   • outpost firewall service
   • scvhost
   • syslock
   • snake sockproxy service
   • msclol2
   • msclol8
   • systemsecuritydll
   • vnc server
   • intel pds
   • intel file transfer
   • internet pr0tocol
   • smss
   • rundll
   • Serv-U FTP Server
   • Norton Unerase Protection
   • AVG7 Alert Manager Server
   • AVG7 Update Service
   • kerio personal firewall
   • Rising Process Communication Center
   • Rising Realtime Monitor Service
   • Kingsoft AntiVirus Service
   • VNC server
   • Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
   • symantec central quarantine
   • symantec quarantine agent
   • symantec quarantine scanner
   • psexesvc
   • etrust antivirus rpc server
   • etrust antivirus realtime server
   • etrust antivirus job server
   • remotely possible/32
   • win32sl
   • altiris client service
   • pcanywhere host service
   • carbon copy access edition
   • directupdate engine
   • noipducservice
     

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

• Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
• Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
• Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
• Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
• Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
• Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
• Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.