||||
Symantec.com > Security Response > W32.Zotob.E
IMPRIMEZ CETTE PAGE

W32.Zotob.E

Niveau de risque 3 : Modéré

Téléchargez l'outil de suppression | Version imprimable

Détecté : 16 Août 2005
Mis à jour : 13 Février 2007 12:43:24 PM
Egalement appelé : CME-540, Win32/Zotob.E!Worm [Computer A, Bozori.A [F-Secure], Net-Worm.Win32.Bozori.a [Kaspe, W32/IRCbot.worm!MS05-039 [McAf, W32/Tpbot-A [Sophos], WORM_ZOTOB.E [Trend Micro], W32/Bozori.A [Norman]
Type : Ver
Etendue de l'infection : 10 366 octets
Systèmes affectés : Windows 2000


Lorsque W32.Zotob.E s'exécute, il réalise les opérations suivantes :
  1. Crée le mutex "wintbp", de sorte que seulement une copie du ver fonctionne en même temps.

  2. Se copie comme %System%\wintbp.exe.

    Remarque : % System% est une variable qui fait référence au dossier System. Il s'agit par défaut de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).

  3. Ajoute la valeur :

    "Wintbp.exe" = "wintbp.exe"

    à la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    de sorte qu'il s'exécute à chaque démarrage de Windows.

  4. Essaie de détecter des connexions de réseau et une adresse IP routable. Le ver peut ne pas fonctionner correctement s'il détermine qu'il n'est pas connecté à un réseau ou si l'adresse IP de l'ordinateur est non-routable.

  5. Tente de se connecter au serveur IRC 72.20.27.115 sur le port TCP 8080 afin d'écouter les commandes suivantes :
    • Télécharger et exécuter des fichiers distants
    • Terminer le ver et supprimer le fichier de l'ordinateur compromis.
  6. Ouvre le port UDP 69 pour initialiser TFTP.

  7. Envoie des paquets aux adresses IP générées de façon aléatoire en fonction de l'adresse IP de la machine infectée. Les adresses IP emploient les 2 premiers octets de l'ordinateur compromis, et des valeurs générées de façon aléatoire pour les troisième et quatrième octets. Il passera à des adresses IP entièrement aléatoires après 32 échecs sur des adresses IP locales ou après 512 échecs s'il a réussi au moins une fois.

  8. Essaie de se propager en exploitant la vulnérabilité de saturation de mémoire tampon dans Plug and Play de Microsoft Windows (décrite dans le Bulletin de sécurité de Microsoft MS05-039), en utilisant le port TCP 445.
  9. S'il y parvient, le code de l'exploit ouvrira une porte dérobée en utilisant le port TCP 8594 sur l'ordinateur distant.
  10. Envoie le fichier %Temp%\[NOMBRE].bat à l'ordinateur cible via la porte dérobée. Ce fichier contient un script TFTP qui téléchargera une copie du ver à partir de l'ordinateur compromis.

    Remarque :
    • [NOMBRE] représente plusieurs nombres aléatoires de 0 - 9
    • %Temp% est une variable qui indique l'emplacement du dossier temporaire de Windows. Par défaut, il s'agit de C:\Windows\TEMP (Windows 95/98/Me/XP) ou C:\WINNT\Temp (Windows NT/2000).
  11. Enregistre ce fichier comme %Windir%\a[NOMBRE].exe sur l'ordinateur cible puis l'exécute.

    Remarque : %Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows ou C:\Winnt.


Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

  • Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
  • Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
  • Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
  • Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
  • Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
  • Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
  • Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.

Ecrit par : Maryl Magee
Economisez jusqu'à 20% avec un abonnement de 2 ans.
©1995 - 2009 Symantec Corporation
Plan du site|
Mentions légales|
Politique de confidentialité|
Nous contacter|
Symantec dans le monde|
Contrats de licences

** L'achat en ligne des Produits Symantec s'effectue depuis le site édité et exploité par un revendeur agréé, la succursale anglaise de la Société Digital River Inc.