W32.Kiman.A

1. Vérifie la présence d'un programme de déboguage et se termine si un programme de ce type est détecté sur l'ordinateur infecté. La même action est réalisée si le ver détecte que l'ordinateur exécute la machine virtuelle VMware.
   
   
2. Il se copie comme %System%\dnsresolver.exe.
   
   Remarque : % System% est une variable qui fait référence au dossier System. Il s'agit par défaut de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).
   
   
3. Ajoute la valeur :
   
   "Domain Name Resolve Service" = "dnsresolver.exe"
   
   aux sous-clés de registre :
   
   HKEY_CURRENT_USER\Software\Microsoft\OLE
   HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
   RunServices
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   RunServices
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   
   de sorte qu'il s'exécute à chaque démarrage de Windows
   
   
4. Modifie la valeur :
   
   "EnableDCOM" = "N"
   
   dans la sous-clé de registre :
   
   HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
   
   pour désactiver DCOM.
   
   
5. Modifie la valeur :
   
   "restrictanonymous" = "1"
   
   dans la sous-clé de registre :
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
   
   pour limiter les sessions null.
   
   
6. Crée les fichiers suivants qui sont utilisés pour modifier les clés de registre :
   
   
   • %SystemDrive%\a.bat
   • %Temp%\1.reg
     
     Remarque :
   • %SystemDrive% est une variable qui se rapporte au disque sur lequel Windows est installé. Par défaut, il s'agit du disque C.
   • %Temp% est une variable qui indique l'emplacement du dossier temporaire de Windows. Par défaut, il s'agit de C:\Windows\TEMP (Windows 95/98/Me/XP) ou C:\WINNT\Temp (Windows NT/2000).
     
     
7. Modifie la valeur :
   
   "TransportBindName" =" "
   
   à la sous-clé de registre :
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
   
   pour modifier la configuration du système.
   
   
8. Modifie la valeur :
   
   "Start" = "4"
   
   aux sous-clés de registre :
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc
   
   pour modifier la configuration du système.
   
   
9. Modifie la valeur :
   
   "EnableRemoteConnect" = "N"
   
   à la sous-clé de registre :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
   
   pour modifier la configuration du système.
   
   
10. Modifie la valeur :
    
    "Enabled" = "0"
    
    à la sous-clé de registre :
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
    SecurityProviders\SCHANNEL\Protocols\PCT1.0\Server
    
    pour modifier la configuration du système.
    
    
11. Modifie les valeurs :
    
    "AutoShareWks" = "0"
    "AutoShareServer" = "0"
    
    à la sous-clé de registre :
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
    lanmanserver\parameters
    
    pour modifier la configuration du système.
    
    
12. Modifie les valeurs :
    
    "NameServer" = ""
    "ForwardBroadcasts" = "0"
    "IPEnableRouter" = "0"
    "Domain" = ""
    "SearchList" = ""
    "UseDomainNameDevolution" = "1"
    "EnableICMPRedirect" = "0"
    "DeadGWDetectDefault" = "1"
    "DontAddDefaultGatewayDefault" = "0"
    "EnableSecurityFilters" = "1"
    "AllowUnqualifiedQuery" = 0
    "PrioritizeRecordData" = "1"
    "TCP1320Opts" = "3"
    "KeepAliveTime" = "23280"
    "BcastQueryTimeout" = "2ee"
    "BcastNameQueryCount" = "1"
    "CacheTimeout"=ea60
    "Size/Small/Medium/Large" = "3"
    "LargeBufferSize" = "1000"
    "SynAckProtect" = "2"
    "PerformRouterDiscovery" = "0"
    "EnablePMTUBHDetect" = "0"
    "FastSendDatagramThreshold " = "400"
    "StandardAddressLength " = "18"
    "DefaultReceiveWindow " = "4000"
    "DefaultSendWindow" = "4000"
    "BufferMultiplier" = "200"
    "PriorityBoost" = "2"
    "IrpStackSize" = "4"
    "IgnorePushBitOnReceives" = "0"
    "DisableAddressSharing" = "0"
    "AllowUserRawAccess" = "0"
    "DisableRawSecurity" = "0"
    "DynamicBacklogGrowthDelta" = "32"
    "FastCopyReceiveThreshold" = "400"
    "LargeBufferListDepth" = "a"
    "MaxActiveTransmitFileCount" = "2"
    "MaxFastTransmit" = "40"
    "OverheadChargeGranularity" = "1
    "SmallBufferListDepth" = "20"
    "SmallerBufferSize" = "80"
    "TransmitWorker" = "20"
    "DNSQueryTimeouts" = "hex(7):31,00,00,00,32,00,00,00,32,00,00,00,34,00,00,00,38,00,00,00,30,00,00,00,00,00"
    "DefaultRegistrationTTL" = "14
    "DisableReplaceAddressesInConflicts" = "0"
    "DisableReverseAddressRegistrations" = "1"
    "UpdateSecurityLevel" = "0"
    "DisjointNameSpace" = "1"
    "QueryIpMatching" = "0"
    "NoNameReleaseOnDemand" = "1"
    "EnableDeadGWDetect" = "0"
    "EnableFastRouteLookup" = "1"
    "MaxFreeTcbs" = "7d0"
    "MaxHashTableSize" = "800"
    "SackOpts" = "1"
    "Tcp1323Opts" = "3"
    "TcpMaxDupAcks" = "1"
    "TcpRecvSegmentSize" = "585"
    "TcpSendSegmentSize" = "585"
    "TcpWindowSize" = "7d200"
    "DefaultTTL" = "30"
    "TcpMaxHalfOpen" = "4b"
    "TcpMaxHalfOpenRetried" = "50"
    "TcpTimedWaitDelay" = "0"
    "MaxNormLookupMemory" = "30d40"
    "FFPControlFlags" = "1"
    "FFPFastForwardingCacheSize" = "30d40"
    "MaxForwardBufferMemory" = "19df7"
    "MaxFreeTWTcbs" = "7d0"
    "GlobalMaxTcpWindowSize" = "7d200"
    "EnablePMTUDiscovery" = "1"
    "ForwardBufferMemory" = "19df7"
    
    à la sous-clé de registre :
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    
    pour modifier la configuration du système.
    
    
13. Modifie les valeurs :
    
    "MaxConnectionsPer1_0Server" = "50"
    "MaxConnectionsPerServer" = "50"
    
    à la sous-clé de registre :
    
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    
    pour modifier la configuration du système.
    
    
14. Tente d'ouvrir une porte dérobée en se connectant à un canal IRC par le port TCP 443 sur le domaine enz.fulame.biz.
    
    
15. Ecoute les commandes qui permettent à l'attaquant distant d'effectuer les actions suivantes :
    
    
    • Télécharger et exécuter des fichiers
    • Répertorier, arrêter et lancer des processus et des threads
    • Lancer des attaques de type déni de service ACK, SYN, UDP et ICMP
    • Rediriger le port
    • Envoyer des fichiers via IRC
    • Envoyer un courrier électronique à l'aide de son propre moteur SMTP
    • Lancer un serveur TFTP, FTP ou HTTP local
    • Rechercher des fichiers sur l'ordinateur compromis
    • Accéder aux partages réseau et se copier vers ces partages réseau
    • Analyser le réseau à la recherche d'ordinateurs vulnérables au moyen de l'analyse des ports
    • Intercepter les paquets sur le réseau local
    • Vider les caches DNS et ARP
    • Ouvrir un shell de commande sur l'ordinateur infecté
    • Ajouter et supprimer les partages réseau et désactiver DCOM
    • Redémarrer l'ordinateur infecté
      
      
16. Peut analyser les ordinateurs et essayer d'exploiter l'une des vulnérabilités suivantes :
    
    
    • La vulnérabilité de saturation de la mémoire tampon dans l'interface d'appel de procédure distante RPC du modèle DCOM Windows (décrite dans le bulletin de sécurité de Microsoft MS03-026).
    • La saturation de la mémoire tampon dans le service Local Security Authority de Microsoft Windows (décrite dans le bulletin de sécurité de Microsoft MS04-011).
      
      
17. Tente de se propager aux adresses IP créées de façon aléatoire en se copiant sur les partages réseau avec des mots de passe faibles.

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

• Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
• Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
• Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
• Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
• Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
• Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
• Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.