Trojan.Ascetic.C

1. Crée les fichiers suivants :
   
   
   • %Windir%\Help\Help\csrss.exe (copie du troyen)
   • %Windir%\Help\Help\smss.exe (copie du troyen)
   • %Windir%\Help\Help\services.exe (copie du troyen)
   • %Windir%\Help\Help\sacri1.ggg
   • %Windir%\Help\Help\sacri2.ggg
   • %Windir%\Help\Help\sacri3.ggg
   • %Windir%\Help\Help\voner1.von
   • %Windir%\Help\Help\voner2.von
   • %Windir%\Help\Help\voner3.von
   • %Windir%\Help\Help\sysonce.tst
   • %Windir%\Help\Help\fastso.ber
   • %System%\nonrunso.ber
   • %System%\langeinf.lin
   • %System%\gdfjgthv.cvq
   • %System%\seppelmx.smx
   • %System%\adcmmmmq.hjg
   • %System%\xcvfpokd.tqa
   • %System%\fastso.ber
     
     Remarques :
   • %Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows (Windows 95/98/Me/XP) ou C:\Winnt (Windows NT/2000).
   • % System% est une variable qui fait référence au dossier System. Par défaut, il s'agit de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).
   • Les fichiers sacri1.ggg, sacri2.ggg, sacri3.ggg, voner1.von, voner2.von, voner3.von, sysonce.tst, fastso.ber, adcmmmmq.hjg, langeinf.lin, nonrunso.ber, seppelmx.smx, xcvfpokd.tqa ne sont pas malveillants.
     
     
2. Ajoute la valeur :
   
   "SystemBoot" = "%Windir%\Help\Help\services.exe"
   
   aux sous-clés de registre :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   
   de sorte que le cheval de Troie s'exécute à chaque démarrage de Windows.
   
   
3. Vérifie la connexion réseau en contactant un serveur NTP sur le port 37 ou en se connectant à l'un des domaines suivants :
   
   
   • microsoft.com
   • bigfoot.com
   • yahoo.com
   • t-online.de
   • google.com
   • hotmail.com
     
     
4. Recueille des adresses électroniques dans les fichiers aux extensions suivantes :
   
   
   • .abc
   • .abd
   • .abx
   • .adb
   • .ade
   • .adp
   • .adr
   • .asp
   • .bak
   • .bas
   • .cfg
   • .cgi
   • .cls
   • .cms
   • .csv
   • .ctl
   • .dbx
   • .dhtm
   • .doc
   • .dsp
   • .dsw
   • .eml
   • .fdb
   • .frm
   • .hlp
   • .imb
   • .imh
   • .imh
   • .imm
   • .inbox
   • .ini
   • .jsp
   • .ldb
   • .ldif
   • .log
   • .mbx
   • .mda
   • .mdb
   • .mde
   • .mdw
   • .mdx
   • .mht
   • .mmf
   • .msg
   • .nab
   • .nch
   • .nfo
   • .nsf
   • .nws
   • .ods
   • .oft
   • .php
   • .phtm
   • .pl
   • .pmr
   • .pp
   • .ppt
   • .pst
   • .rtf
   • .shtml
   • .slk
   • .sln
   • .stm
   • .tbb
   • .txt
   • .uin
   • .vap
   • .vbs
   • .vcf
   • .wab
   • .wsh
   • .xhtml
   • .xls
   • .xml
     
     Le troyen évite des adresses électroniques contenant les chaînes suivantes :
     
     
   • -dav
   • .dial.
   • .kundenserver.
   • .ppp.
   • .qmail@
   • .sul.t-
   • @arin
   • @avp
   • @ca.
   • @example.
   • @foo.
   • @from.
   • @gmetref
   • @iana
   • @ikarus.
   • @kaspers
   • @messagelab
   • @nai.
   • @panda
   • @smtp.
   • @sophos
   • @www
   • abuse
   • announce
   • antivir
   • anyone
   • anywhere
   • bellcore.
   • bitdefender
   • clock
   • detection
   • domain.
   • emsisoft
   • ewido.
   • free-av
   • freeav
   • ftp.
   • gold-certs
   • google
   • host.
   • icrosoft.
   • ipt.aol
   • law2
   • linux
   • mailer-daemon
   • mozilla
   • mustermann@
   • nlpmail01.
   • noreply
   • nothing
   • ntp-
   • ntp.
   • ntp@
   • office
   • password
   • postmas
   • reciver@
   • secure
   • service
   • smtp-
   • somebody
   • someone
   • spybot
   • sql.
   • subscribe
   • support
   • t-dialin
   • t-ipconnect
   • test@
   • time
   • user@
   • variabel
   • verizon.
   • viren
   • virus
   • whatever@
   • whoever@
   • winrar
   • winzip
   • you@
   • yourname
     
     
5. Tente d'envoyer le courrier électronique de spam aux adresses électroniques recueillies. Le courrier électronique peut être en anglais ou en allemand (code ASCII) et a les caractéristiques suivantes :
   
   Objet :
   4,8 Mill. Osteuropae [REMOVED] ischer-Volmer Erlass
   Message  :
   [URL pointant sur une page du domaine www.npd.de]
   Neue Dokumente:
   [URL pointant sur une page du domaine www.rp-online.de]
   Botschafter in Kiew beschwerte sich noch 2004:
   [URL pointant sur une page du domaine www.rp-online.de]
   Traumziel Deutschland:
   Ohne Deutsch nach Deutschland:
   [URL pointing to a page on the www.aufenthaltstitel.de domain]
   [URL pointant sur une page du domaine www.berlinonline.de]
   Kanzler erleichtert Visaverfahren fr Golfstaaten:
   [URL pointant sur une page du domaine www.spiegel.de]
   Vorbildliche Aktion:
   [URL pointant sur une page du domaine www.npd.de]
   
   Objet  :
   Auf Streife durch den Berliner Wedding
   Message  :
   [URL pointant sur une page du domaine www.zdf.de]
   [URL pointant sur une page du domaine www.libasoli.de]
   
   Objet  :
   Auslaender bevorzugt
   Message  :
   [URL pointant sur une page du domaine www.npd.de]
   Jetzt weiss man auch [REMOVED] r Knacki's gelangen!
   
   Objet  :
   Deutsche Buerger trauen sich nicht ...
   Message  :
   Auslaenderbanden ter [REMOVED] re Meinung zu sagen!
   Weiter auf:
   [URL pointant sur une page du domaine www.npd-nrw.net]
   Auslaender ueberfallen nationale Aktivisten:
   [URL pointant sur une page du domaine www.npd.de]
   [URL pointant sur une page du domaine www.npd.de]
   
   Objet  :
   Auslaenderpolitik
   Message  :
   [URL pointant sur une page du domaine www.mjoelnirsseite.de]
   
   Objet  :
   Blutige Selbstjustiz
   Message  :
   [URL pointant sur une page du domaine www.zukunft-europa.info]
   Polizeiexperten warn [REMOVED] te tragen Mitschuld.
   Weiter auf:
   [URL pointant sur une page du domaine www.libasoli.de]
   
   Objet  :
   Deutsche werden kuenftig beim Arzt abgezockt
   Message  :
   [URL pointant sur une page du domaine globalfire.tv]
   EU-Abgeordnete goenn [REMOVED] oese Vollversorgung:
   [URL pointant sur une page du domaine www.rp-online.de]
   Deutsche Krankenvers [REMOVED] arems-Frauen zahlen:
   [URL pointant sur une page du domaine www.spiegel.de]
   Kassenfunktionaere vervierfachten Gehalt:
   [URL pointant sur une page du domaine www.spiegel.de]
   
   Objet  :
   Paranoider Deutschenmoerder kommt in Psychiatrie
   Message  :
   [URL pointant sur une page du domaine brandenburg.rz.fhtw-berlin.de]
   
   Objet  :
   Du wirst zum Sklaven gemacht!!!
   Message  :
   [URL pointant sur une page du domaine globalfire.tv]
   Immer mehr Frauen prostituieren sich:
   [URL pointant sur une page du domaine shortnews.stern.de]
   STAATSPROPAGANDA:
   [URL pointant sur une page du domaine www.spiegel.de]
   
   Objet  :
   Dresden 1945
   Message  :
   [URL pointant sur une page du domaine www.kommunisten-online.de]
   
   Objet  :
   Massenhafter Steuerb [REMOVED] ndische Arbeitnehmer
   Message  :
   [URL pointant sur une page du domaine the www.rp-online.de]
   
   Objet  :
   Gegen das Vergessen
   Message  :
   In den fruehen Abend [REMOVED] Opfern zu gedenken.!
   
   Objet  :
   Tuerkei in die EU
   Message  :
   GEWALTEXZESS:
   [URL pointant sur une page du domaine www.spiegel.de]
   Politiker zerreit Menschenrechtsbericht:
   [URL pointant sur une page du domaine www.spiegel.de]
   Schily = Hitler
   [URL pointant sur une page du domaine www.spiegel.de]
   Schily wehrt sich gegen Hitler-Vergleiche:
   [URL pointant sur une page du domaine www.spiegel.de]
   Sie hat ja wie eine Deutsche gelebt:
   [URL pointant sur une page du domaine www.spiegel.de]
   [URL pointing to a page on the www.npd.de domain]
   Parallelgesellschaften - Feind hoerte mit:
   [URL pointant sur une page du domaine www.npd.de]
   Sie war unerlaubt spazieren:|
   [URL pointant sur une page du domaine the www.taz.de]
   Tiere an Autobahn geschlachtet:
   [URL pointant sur une page du domaine forum.gofeminin.de]
   
   Objet  :
   Hier sind wir Lehrer die einzigen Auslaender
   Message  :
   [URL pointant sur une page du domaine www.deutschlandchronik.de]
   [URL pointant sur une page du domaine www.leverkusener-aufbruch.com]
   
   Objet  :
   Multi-Kulturell = Multi-Kriminell
   Message  :
   [URL pointant sur une page du domaine www.npd.de]
   
   Objet  :
   Verbrechen der deutschen Frau
   Message  :
   [URL pointant sur une page du domaine www.jn-bw.de]
   
   Objet  :
   S.O.S. Kiez! Polizei schlaegt Alarm
   Message  :
   [URL pointant sur une page du domaine bz.berlin1.de]
   
   Objet  :
   Transparenz ist das Mindeste
   Message  :
   [URL pointant sur une page du domaine www.npd.de]
   
   Objet  :
   Trotz Stellenabbau
   Message  :
   [URL pointant sur une page du domaine www.spiegel.de]
   
   Objet  :
   Vorbildliche Aktion
   Message  :
   [URL pointant sur une page du domaine www.npd.de]
   
   Objet  :
   Augen auf
   Message  :
   [URL pointant sur une page du domaine www.rocknord.de]
   [URL pointant sur une page du domaine www.aktivefrauenfraktion.tk]
   [URL pointant sur une page du domaine www.kopfmord.de]
   [URL pointant sur une page du domaine www.das-gibts-doch-nicht.de]
   [URL pointant sur une page du domaine www.zukunft-europa.info]
   [URL pointant sur une page du domaine www.geocities.com]
   [URL pointant sur une page du domaine www.g-d-f.de]
   [URL pointant sur une page du domaine www.bewaeltigen.de]
   [URL pointant sur une page du domaine www.wk-institut.de]
   [URL pointant sur une page du domaine www.jungefreiheit.de]
   [URL pointant sur une page du domaine www.auslaendergewalt.ch]
   [URL pointant sur une page du domaine www.pro-koeln-online.de]
   [URL pointant sur une page du domaine www.leverkusener-aufbruch.com]
   [URL pointant sur une page du domaine www.buergerbewegungen.de]
   [URL pointant sur une page du domaine www.un-nachrichten.de]
   [URL pointant sur une page du domaine www.radio-freiheit.com]
   
   Objet  :
   Du wirst ausspioniert ....!
   Message  :
   und weisst es nicht einmal:
   [URL pointant sur une page du domaine www.heise.de]
   [URL pointant sur une page du domaine www.heise.de]
   [URL pointant sur une page du domaine www.heise.de]
   [URL pointant sur une page du domaine www.heise.de]
   
   Objet  :
   Volk wird nur zum zahlen gebraucht!
   Message  :
   [URL pointant sur une page du domaine www.my-rocknord.d]
   ... damit Sie nicht  [REMOVED] nung treffen lassen!
   
   Objet  :
   60 Jahre Befreiung: Wer feiert mit?
   Message  :
   [URL pointant sur une page du domaine www.unserforum.com]
   [URL pointant sur une page du domaine www.unserforum.com]
   [URL pointant sur une page du domaine www.unserforum.com]
   [URL pointant sur une page du domaine www.unserforum.com]
   
   Objet  :
   Graeberschaendung auf bundesdeutsche Anordnung
   Message  :
   [URL pointant sur une page du domaine www.die-kommenden.net]
   
   Objet  :
   Schily ueber Deutschland
   Message  :
   [URL pointant sur une page du domaine www.heise.de]
   
   Objet  :
   The Whore Lived Like a German
   Message  :
   Full Article:
   [URL pointant sur une page du domaine service.spiegel.de]
   
   Objet  :
   Turkish Tabloid Enra [REMOVED] ith Nazi Comparisons
   Message  :
   Full Article:
   [URL pointant sur une page du domaine service.spiegel.de]
   
   Objet  :
   Dresden Bombing Is To Be Regretted Enormously
   Message  :
   [URL pointant sur une page du domaine service.spiegel.de]
   
   Objet  :
   Armenian Genocide Plagues Ankara 90 Years On
   Message  :
   [URL pointant sur une page du domaine service.spiegel.de]
   
   
   Pièce jointe :
   Le courrier électronique n'a aucune pièce jointe.
   
   
6. Essaie de terminer les processus dont les noms contiennent les chaînes suivantes :
   
   
   • microsoftanti
   • gcas
   • gcip
   • giantanti
   • inetupd.
   • nod32kui
   • nod32.
   • fxsob
   • s-t-i-n-g
   • hijack
   • sober
     
     
7. Supprime les fichiers suivants s'ils existent :
   
   
   • %ProgramFiles%\Symantec\Liveupdate\a*.exe
   • %ProgramFiles%\Symantec\Liveupdate\luc*.exe
   • %ProgramFiles%\Symantec\Liveupdate\ls*.exe
   • %ProgramFiles%\Symantec\Liveupdate\luu*.exe
     
     Remarque : %ProgramFiles% est une variable qui se rapporte au dossier program files. Par défaut, c'est C:\Program Files.
     
     
8. Remplace le fichier %Program Files%\Symantec\Liveupdate\luall.exe par une copie de lui-même s'il existe.
   
   
9. Ajoute la valeur :
   
   "EnableFirewall" = "0"
   
   aux sous-clés de registre :
   
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\
   Parameters\FirewallPolicy\StandardProfile
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
   Parameters\FirewallPolicy\StandardProfile
   
   pour diminuer des paramètres de sécurité.
   
   
10. Ajoute la valeur :
    
    "AUOptions" = "0"
    
    à la sous-clé de registre :
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    WindowsUpdate\Auto Update
    
    pour empêcher l'installation du Service Pack 2 de Windows XP sur l'ordinateur infecté.
    
    
11. Essaie de télécharger un fichier des domaines suivants, si la date, après vérification par des serveurs de NTP, est le 11 mai 2005 ou plus tard :
    
    
    • free.pages.at
    • home.arcor.de
    • home.pages.at
    • people.freenet.de
    • scifi.pages.at
      
      Remarque : Au moment où cet article a été rédigé, aucun fichier ne se trouvait aux URL ci-dessus.

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

• Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
• Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
• Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
• Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
• Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
• Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
• Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.