W32.Pahatia.A

1. Se copie lui-même sous les noms de fichier suivants :
   
   
   • C:\Documents and Settings\All Users\Bureau\My Documents.exe
   • C:\Documents and Settings\All Users\Menu Démarrer\Programmes\My Documents.exe
   • C:\Program Files\Microsoft Office\Temp.exe
   • C:\WINDOWS\security\krnl32.bat
   • C:\WINDOWS\system\Aku Bisa Tanpamu.exe
   • C:\WINDOWS\system\Aku Kecewa.exe
   • C:\WINDOWS\system\Dibalas Dengan Dusta.exe
   • C:\WINDOWS\system\ISASS.exe
   • C:\WINDOWS\system\Kau Pikir Kaulah Segalanya.exe
   • C:\WINDOWS\system\LNETINFO.exe
   • C:\WINDOWS\system\mr.abram's.exe
   • C:\WINDOWS\system\Sejauh Mungkin.exe
   • C:\WINDOWS\system\Tak Seperti Dulu.exe
   • C:\WINDOWS\system\Viva Elektro.exe
   • C:\WINDOWS\system32\Patah_0[ALÉATOIRE].exe
   • C:\WINDOWS\hkcmd.exe
   • C:\WINDOWS\system.exe
     
     Remarque : Les chemins d'accès des fichiers sont codés en dur dans le ver et ne changent pas en fonction des systèmes d'exploitation.
     
     
2. Tente de se copier comme Data [NOM DE L'ORDINATEUR].exe dans le dossier et le lecteur suivants :
   
   
   • %UserProfile%\Mes documents
   • D:
   • E:
   • F:
   • G:
   • H:
   • I:
   • J:
   • K:
   • L:
   • M:
   • N:
   • Z:\
     
     Remarque : %UserProfile% est une variable qui se rapporte au dossier profil de l'utilisateur en cours. Par défaut, il s'agit de C:\Documents and Settings\[Utilisateur en cours] (Windows NT/2000/XP).
     
     
3. Recherche le sous-dossier %UserProfile%\Mes documents, puis se copie en tant que [NOM DU DOSSIER].exe.
   
   
4. Crée le fichier texte suivant comme marque d'infection :
   
   C:\Patah Hati.txt
   
   
5. Se copie sous le nom de fichier suivant de sorte qu'il s'exécute à chaque démarrage de Windows :
   
   C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\system startup.pif
   
   
6. Ajoute les valeurs :
   
   "Patah Hati" = "C:\WINDOWS\system\ISASS.exe"
   "user logon" = "C:\WINDOWS\Help\user logon.exe"
   
   à la sous-clé de registre :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   de sorte qu'il s'exécute à chaque démarrage de Windows.
   
   
7. Ajoute la valeur :
   
   "HotKeysCmds" = "C:\WINDOWS\hkcmd.exe"
   
   à la sous-clé de registre :
   
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   
   de sorte qu'il s'exécute à chaque démarrage de Windows.
   
   
8. Ajoute la valeur :
   
   "Shell" = "Explorer.exe "C:\Program Files\Microsoft Office\Temp.exe""
   
   à la sous-clé de registre :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   
   de sorte qu'il s'exécute à chaque démarrage de Windows.
   
   
9. Ajoute la valeur :
   
   "NoFind" = "1"
   
   à la sous-clé de registre :
   
   HKEY_CURRENT_USER\Software\Policies\Microsoft\CurrentVersion\Policies\Explorer
   
   pour désactiver l'accès à la fonction de recherche.
   
   
10. Ajoute les valeurs :
    
    "NoRun" = "1"
    "NoFolderOptions" = "1"
    
    à la sous-clé de registre :
    
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    
    pour désactiver l'accès à la fonction Exécuter et pour empêcher l'utilisateur de modifier les options des dossiers.
    
    
11. Modifie les valeurs :
    
    "DisableTaskMgr" = "1"
    "DisableCMD" = "1"
    "DisableRegistryTools" = "1"
    
    dans la sous-clé de registre :
    
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    
    pour désactiver le Gestionnaire des tâches de Windows, l'invite de commande, et l'Editeur du registre.
    
    
12. Modifie les valeurs :
    
    "HideFileExt" = "1"
    "Hidden" = "2"
    
    dans la sous-clé de registre :
    
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    
    pour masquer les extensions de fichier.
    
    
13. Ajoute la valeur :
    
    "RegisteredOrganization" = "mr.abram's"
    
    à la sous-clé de registre :
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
    
    
14. Tente de redémarrer l'ordinateur infecté s'il détecte que les programmes suivants sont en cours d'exécution :
    
    
    • msconfig.exe
    • regedit.exe
    • taskmgr.exe
    • cmd.exe
    • ntvdm.exe
    • setup.exe
    • x-raypc.exe
    • rx box.exe
    • processxp.exe
    • hijackthis.exe
    • sysmech6.exe
    • integrator.exe
    • rstrui.exe
    • mmc.exe
    • winamp.exe

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

• Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
• Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
• Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
• Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
• Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
• Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
• Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.