||||
Symantec.com > Security Response > W32.Wargbot
IMPRIMEZ CETTE PAGE

W32.Wargbot

Niveau de risque 2 : Faible

Version imprimable

Détecté : 12 Août 2006
Mis à jour : 13 Février 2007 1:02:05 PM
Egalement appelé : CME-762 [Common Malware Enumer, CME-482 [Common Malware Enumer, WORM_IRCBOT.JK [Trend], WORM_IRCBOT.JL [Trend], IRC-Mocbot!MS06-040 [McAfee], Cuebot.J [Computer Associates], W32/Cuebot-L [Sophos], W32.Mocbot.B
Type : Ver
Etendue de l'infection : 9 609 octets9 374 octets
Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP


Lorsque W32.Wargbot s'exécute, il réalise les opérations suivantes :
  1. Se copie lui-même sous le nom de fichier suivant :

    %System%\wgareg.exe

    Remarque : %System% est une variable qui fait référence au dossier System. Il s'agit par défaut de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).

  2. Crée un service avec les caractéristiques suivantes :

    Nom complet : Windows Genuine Advantage Registration Service
    Chemin de l'image : %System%\wgareg.exe

  3. Crée la sous-clé de registre suivante pour créer le service ci-dessus :

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wgareg

  4. Ajoute la valeur :

    "enabledcom" = "n"

    à la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

    afin de désactiver DCOM.

  5. Ajoute les valeurs :

    "restrictanonymous" = "1"
    "restrictanonymoussam" = "1"

    à l'entrée de registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

    pour modifier l'accès aux partages réseau.
  6. Il ajoute les valeurs :

     "autoshareserver" = "0"
    "autosharewks" = "0"

    à l'entrée de registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\lanmanserver
    \parameters

  7. Ajoute les valeurs :

    "antivirusdisablenotify" = "1"
    "antivirusoverride" = "1"
    "firewalldisablenotify" = "1"
    "firewalldisableoverride" = "1"

    à l'entrée de registre suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

    pour diminuer des paramètres de sécurité.

  8. Ajoute la valeur :

    "enablefirewall" = "0"

    à l'entrée de registre suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windowsfirewall
    \domainprofile

    pour diminuer des paramètres de sécurité.

  9. Ajoute la valeur :

    "enablefirewall" = "0"

    à l'entrée de registre suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windowsfirewall
    \standardprofile

    pour diminuer des paramètres de sécurité.

  10. Ajoute la valeur :

    "Start" = "4"

    à l'entrée de registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess

    pour modifier le pare-feu de Windows.

  11. Ajoute un programme au processus suivant :

    explorer.exe

    afin de supprimer le fichier d'origine du ver.

  12. Crée le fichier suivant :

    %Windir%\debug\dcpromo.log

    Remarque : %Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows ou C:\Winnt.

  13. Ouvre une porte dérobée sur l'ordinateur infecté en se connectant aux domaines IRC suivants sur le port TCP 18067 :

    • [http://]bniu.hous[SUPPRIMÉ].com
    • [http://]ypgw.walll[SUPPRIMÉ].com

  14. Attend les commandes qui peuvent permettre à un attaquant distant d'effectuer certaines des actions suivantes sur l'ordinateur infecté :

    • Lancer des attaques de déni de service
    • Analyser les adresses IP pour trouver des ordinateurs à attaquer
    • Télécharger et exécuter des fichiers distants
    • Envoyer un message en utilisant AOL Instant Messenger (s'il est en cours d'exécution)
    • Exécuter à distance le shell d'invite de commande, qui permet à l'attaquant d'exécuter n'importe quelle commande

  15. Peut recevoir des commandes pour télécharger un fichier à partir de [http://]media.pixpond.com/l9rd[SUPPRIMÉ]. Le fichier téléchargé est une copie de Backdoor.Ranky.X qui attend les commandes d'un attaquant distant sur un port aléatoire et envoie l'adresse IP de l'ordinateur infecté à un serveur sur le domaine yu.haxx.biz.

  16. Tente de se propager en exploitant la saturation de la mémoire tampon dans le service Serveur de Microsoft Windows (décrite dans le bulletin de sécurité de Microsoft MS06-040) lorsqu'il reçoit la commande adéquate. Le code de la faille affecte les ordinateurs utilisant le système d'exploitation Windows 2000.


Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

  • Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
  • Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
  • Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
  • Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
  • Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
  • Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
  • Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.

Ecrit par : Takayoshi Nakayama
Economisez jusqu'à 20% avec un abonnement de 2 ans.
©1995 - 2009 Symantec Corporation
Plan du site|
Mentions légales|
Politique de confidentialité|
Nous contacter|
Symantec dans le monde|
Contrats de licences

** L'achat en ligne des Produits Symantec s'effectue depuis le site édité et exploité par un revendeur agréé, la succursale anglaise de la Société Digital River Inc.