||||
Symantec.com > Security Response > SymbOS.Cardtrp.AB
IMPRIMEZ CETTE PAGE

SymbOS.Cardtrp.AB

Niveau de risque 1 : Très faible

Version imprimable

Détecté : 9 Mars 2006
Mis à jour : 13 Février 2007 12:51:02 PM
Type : Cheval de Troie
Etendue de l'infection : 132 659 octets
Systèmes affectés : EPOC, Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP


Il a été signalé que le cheval de Troie se présente sous le nom de fichier Opera PATCH FULL ++.sis. Quand l'utilisateur ouvre ce fichier, le téléphone affiche une boîte de dialogue pour avertir l'utilisateur que l'application peut provenir d'une source suspecte et peut poser des problèmes éventuels. Si l'utilisateur sélectionne Oui, le dispositif affiche le message suivant invitant l'utilisateur à installer la menace :

Install
Opera PATCH FULL ++

Lorsque SymbOS.Cardtrp.AB s'exécute, il réalise les opérations suivantes :
  1. Il affiche le message suivant :

    Opera's Patch Ver. 7.5 ----------------------------------------------- Simply Change the start page and other functions! Enjoy! ----------------------------------- Opera CRACKED BY SAN_SHAKER

  2. Il dépose les fichiers suivants :

    • [LETTRE DU LECTEUR]\System\Apps\Opera\ZH-CN\troubleshoot.html
    • [LETRE DU LECTEUR]\System\Apps\Opera\ZH-CN\start.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\ZH-CN\keypad.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\ZH-CN\index.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\ZH-CN\home.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\ZH-CN\connect.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\TH\troubleshoot.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\TH\start.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\TH\keypad.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\TH\index.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\TH\home.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\TH\connect.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\start_on.gif
    • [LETTRE DU LECTEUR]\System\Apps\Opera\start.gif
    • [LETTRE DU LECTEUR]\System\Apps\Opera\portal_on.gif
    • [LETTRE DU LECTEUR]\System\Apps\Opera\portal.gif
    • [LETTRE DU LECTEUR]\System\Apps\Opera\link.gif
    • [LETTRE DU LECTEUR]\System\Apps\Opera\keypad_on.gif
    • [LETTRE DU LECTEUR]\System\Apps\Opera\keypad.gif
    • [LETTRE DU LECTEUR]\System\Apps\Opera\ID\troubleshoot.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\ID\start.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\ID\keypad.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\ID\index.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\ID\home.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\ID\connect.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\home.png
    • [LETTRE DU LECTEUR]\System\Apps\Opera\help_on.gif
    • [LETTRE DU LECTEUR]\System\Apps\Opera\help.gif
    • [LETTRE DU LECTEUR]\System\Apps\Opera\file.gif
    • [LETTRE DU LECTEUR]\System\Apps\Opera\EN-GB\troubleshoot.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\EN-GB\start.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\EN-GB\keypad.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\EN-GB\index.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\EN-GB\home.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\EN-GB\connect.html
    • [LETTRE DU LECTEUR]\System\Apps\Opera\drive.gif
    • [LETTRE DU LECTEUR]\System\Apps\Opera\connect_on.gif
    • [LETTRE DU LECTEUR]\System\Apps\Opera\connect.gif
    • [LETTRE DU LECTEUR]\System\Apps\Opera\community_on.gif
    • [LETTRE DU LECTEUR]\System\Apps\Opera\community.gif
    • [LETTRE DU LECTEUR]\System\Apps\Opera\blank.gif
    • C:\System\Data\Backgroundimage.mbm
    • C:\System\Apps\SystemExplorer\SystemExplorer.app
    • C:\System\Apps\SystemExplorer\SystemExplorer.aif
    • C:\System\Apps\FExplorer\FExplorer.app
    • C:\System\Apps\FExplorer\FExplorer.aif
    • C:\System\Apps\AppMngr\Appmngr.app
    • C:\System\Apps\AppMngr\Appmngr.aif
    • C:\System\Apps\AppInst\Appinst.app
    • C:\System\Apps\AppInst\Appinst.aif
    • C:\System\Apps\Anti-virus\Anti-virus.app
    • C:\System\Apps\Anti-virus\Anti-virus.aif

      Remarque :
    • La variable [LETTRE DU LECTEUR] correspond à la lettre du lecteur utilisée pour représenter le dispositif même ou la carte mémoire. La valeur réelle dépend du choix de l’utilisateur lors du processus d’installation.
    • Beaucoup de fichiers déposés par le cheval de Troie sont corrompus, ce qui désactive plusieurs programmes légitimes et peut empêcher le dispositif de redémarrer.
    • Les fichiers .html déposés sont identiques et tous affichent le texte suivant lorsqu'ils sont ouverts :

      YOU HAVE BEEN INFECTED BY SAN SHAKER'S VIRUS

  3. Dépose les fichiers suivants sur la carte mémoire du dispositif infecté :

    • E:\virus.ico
    • E:\GreatLove.txt.exe (copie de W32.Blaster.Worm.)
    • E:\autorun.inf

      Remarque : Le fichier autorun créé sur la carte mémoire tente d'exécuter le fichier GreatLove.txt.exe si la carte est insérée dans un ordinateur Windows.

  4. Le fichier suivant est également créé par le programme d'installation du dispositif, et non par le cheval de Troie même :

    \system\install\Opera PATCH FULL ++.sis


Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

  • Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
  • Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
  • Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
  • Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
  • Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
  • Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
  • Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.

Ecrit par : Kaoru Hayashi
Economisez jusqu'à 20% avec un abonnement de 2 ans.
©1995 - 2009 Symantec Corporation
Plan du site|
Mentions légales|
Politique de confidentialité|
Nous contacter|
Symantec dans le monde|
Contrats de licences

** L'achat en ligne des Produits Symantec s'effectue depuis le site édité et exploité par un revendeur agréé, la succursale anglaise de la Société Digital River Inc.