Détecté : 3 Mars 2006
Mis à jour : 13 Février 2007 12:49:32 PM
Type : Ver
Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Lorsque W32.Spybot.AFEW s'exécute, il réalise les opérations suivantes :
- Vérifie la présence de la présence d'un programme de déboguage et se termine s'il en détecte un. Le ver se terminera également s'il détecte qu'il fonctionne sur une machine virtuelle VMware.
- Se copie lui-même sous le nom de fichier suivant :
%Windir%\wscntify.exe
Remarque :%Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows ou C:\Winnt.
- S'enregistre comme l'un des services suivants de sorte à être exécuté à chaque démarrage de Windows :
Nom du service : windows security centre
Nom complet : security centre
Chemin d'accès de l'image : %Windir%\wscntify.exe
Description : security
- Crée la sous-clé de registre suivante pour créer le service ci-dessus :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows security centre
- Ajoute la valeur :
"ImagePath" = "%Windir%\wscntify.exe"
"DisplayName" = "security centre"
"Description" = "security"
à la sous-clé de registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winrpc
- Il crée la sous-clé de registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_SECURITY_CENTRE
- Modifie les valeurs :
"UpdatesDisableNotify" = "1"
"AntiVirusDisableNotify" = "1"
"FirewallDisableNotify" = "1"
"AntiVirusOverride" = "1"
"FirewallOverride" = "1"
dans la sous-clé de registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
pour diminuer des paramètres de sécurité.
- Modifie la valeur :
"EnableFirewall" = "0"
dans les sous-clés de registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
pour diminuer des paramètres de sécurité.
- Modifie la valeur :
"AUOptions" = "1"
dans la sous-clé de registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update
pour diminuer des paramètres de sécurité.
- Modifie la valeur :
"Start" = "4"
dans les sous-clés de registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger
pour diminuer des paramètres de sécurité.
- Modifie la valeur :
"restrictanonymous" = "1"
dans la sous-clé de registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
pour diminuer des paramètres de sécurité.
- Modifie la valeur :
"EnableDCOM" = "N"
dans la sous-clé de registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE
pour diminuer des paramètres de sécurité.
- Modifie les valeurs :
"AutoShareWks" = "0"
"AutoShareServer" = "0"
dans la sous-clé de registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
pour diminuer des paramètres de sécurité.
- Modifie les valeurs :
"AutoShareWks" = "0"
"AutoShareServer" = "0"
dans la sous-clé de registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
pour diminuer des paramètres de sécurité.
- Modifie la valeur :
"DoNotAllowXPSP2" = "1"
dans la sous-clé de registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
pour diminuer des paramètres de sécurité.
- Modifie la valeur :
"WaitToKillServiceTimeout" = "7000"
dans la sous-clé de registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
afin d'essayer d'empêcher l'arrêt du service du ver.
- Peut également tenter de supprimer les partages réseau.
- Arrête les services suivants :
- Tlntsvr
- RemoteRegistry
- Messenger
- SharedAccess
- wscsvc
- Ouvre une porte dérobée en se connectant au serveur IRC link.sp4m.info sur le port TCP 61521, ce qui permet à l'attaquant distant d'effectuer les actions suivantes sur l'ordinateur compromis :
- Télécharger des fichiers
- Se mettre à jour lui-même
- Crypter les fichiers et les transférer
- Analyser les ports ouverts
- Répertorier et terminer les threads
- Obtenir des informations concernant la page de démarrage d'Internet Explorer
- Lire, écrire et supprimer des valeurs de registre
- Effectuer des attaques de type déni de service
- Tente de se copier sur des machines distantes en fonction d'une liste d'adresses IP générées aléatoirement. Le ver utilise une liste de mots de passe codée en dur avec la liste des utilisateurs obtenus auprès des machines distantes. Il se copiera dans l'un des dossiers suivants :
- IPC$
- Admin$
- Admin#\system32
- c$\winnt\system32
- c$\windows\system32
- d$\winnt\system32
- d$\windows\system32
et les mots de passe que le ver utilise sont :
- admin
- root
- 0
- 1
- 111
- 12
- 123
- 1234
- 12345
- 123456
- 654321
- !@#$
- !@#$%
- !@#$%^
- !@#$%^&
- asdf
- asdfgh
- server
- Peut accéder aux sites suivants et exécuter le script d'environnement CGI :
[http://]park3.wakwak.com/~kyosuke/cgi-bin/env[SUPPRIME]
[http://]cgi.figlar.net/cgi-bin/jenv[SUPPRIME]
[http://]66.199.244.102/cig-bin/jenv[SUPPRIME]
[http://]66.197.42.23/cgi-bin/jenv[SUPPRIME]
[http://]cgi.figlar.net/asen[SUPPRIME]
[http://]www.seacredit.com/cgi-bin/ip1[SUPPRIME]
[http://]www.pe4ati.net/cgi-bin/proxyjudge-huy-vam-v-rylo-li4ery/prxjd[SUPPRIME]
[http://]69.73.179.205/cgi-bin/lawina[SUPPRIME]
- Peut se propager par l'intermédiaire d'AOL Instant Messenger en modifiant les fichiers info.backup et info.htm dans le répertoire AIM :
- Se propage sur les ordinateurs en exploitant les vulnérabilités suivantes :
Recommandations
Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :
- Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
- Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
- Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
- Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
- Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
- Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
- Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.
Ecrit par : Jeong Mun
Technorati
Viadeo
Facebook
LinkedIn
MySpace
Digg
Delicious
Reddit
StumbleUpon
Buzz