Backdoor.Ranky.X

1. Il crée l'un des fichiers suivants :
   
   %Windir%\nrcs.exe
   %Windir%\mapping\svchost.exe
   %Windir%\security\svchost.exe
   %Windir%\config\svchost.exe
   
   Remarque : %Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows ou C:\Winnt.
   
   
2. Peut créer le service suivant qui pointe vers l'un des fichiers ci-dessus :
   
   cfgBackupSvc
   
   
3. Ajoute l'une des valeurs suivantes :
   
   "Microsoft (R) Windows Vista/NT Runtime Compatibility Service" = "%Windir%\nrcs.exe"
   "Microsoft (R) Windows Configuration Backup Service" = "c:\WINDOWS\config\svchost.exe"
   "Microsoft (R) Windows Configuration Backup Service" = "c:\WINDOWS\mapping\svchost.exe"
   "Microsoft (R) Windows Configuration Backup Service" = "c:\WINDOWS\security\svchost.exe"
   
   à la sous-clé de registre :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   de sorte qu'il s'exécute à chaque démarrage de Windows.
   
   
4. Ajoute l'une des valeurs suivantes :
   
   "c:\WINDOWS\config\svchost.exe" = "%Windir%\mapping\svchost.exe:*:Microsoft (R) Windows Configuration Backup Service"
   "c:\WINDOWS\config\svchost.exe" = "%Windir%\security\svchost.exe:*:Microsoft (R) Windows Configuration Backup Service"
   "c:\WINDOWS\config\svchost.exe" =  %Windir%\config\svchost.exe:*:Microsoft (R) Windows Configuration Backup Service"
   
   à la sous-clé de registre :
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
   Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
   
   
5. Ajoute l'une des valeurs suivantes :
   
   "Shell" = "Explorer.exe c:\WINDOWS\config\svchost.exe"
   "Shell" = "Explorer.exe c:\WINDOWS\mapping\svchost.exe"
   "Shell" = "Explorer.exe c:\WINDOWS\security\svchost.exe"
   
   à la sous-clé de registre suivante :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   
   
6. Modifie l'une des valeurs suivantes :
   
   "Userinit" = "C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\config\svchost.exe"
   "Userinit" = "C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\mapping\svchost.exe"
   "Userinit" = "C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\security\svchost.exe"
   
   dans la sous-clé de registre suivante :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   
   
7. Modifie la valeur :
   
   "DisableSR" = "1"
   
   dans la sous-clé de registre suivante :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
   
   
8. Modifie la valeur :
   
   "SFCDisable" = "4"
   
   dans la sous-clé de registre suivante :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   
   
9. Modifie la valeur :
   
   "Start" = "4"
   
   dans la sous-clé de registre suivante :
   
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
   
   
10. Modifie les valeurs :
    
    "Hidden" = "0"
    "ShowSuperHidden"
    
    dans la sous-clé de registre suivante :
    
    HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    
    
11. Ajoute la valeur :
    
    "Shell" = "%Windir%\nrcs.exe"
    
    à la sous-clé de registre :
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
    HKEY_ALL_USERS\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
    
    
12. Supprime toutes les entrées de la sous-clé suivante :
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
    Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    
    
13. Crée les sous-clés suivantes :
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Tmp
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntrcs
    
    
14. Crée le mutex appelé "WVNRCS32_Class_" de sorte que seulement une instance de la menace s'exécute sur l'ordinateur infecté.
    
    
15. Contacte le serveur suivant avec une notification d'infection :
    
    yu.haxx.biz
    
    
16. Se connecte au serveur suivant sur le port TCP 25 :
    
    mxs.mail.ru
    
    
17. Se comporte comme serveur proxy en envoyant toute information reçue du serveur mxs.mail.ru à l'attaquant, et inversement.
    
    
18. Peut tenter de supprimer certaines valeurs de registre afin d'empêcher l'exécution de certaines applications.
    
    
19. Ouvre une porte dérobée sur un port TCP aléatoire sur l'ordinateur infecté.

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

• Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
• Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
• Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
• Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
• Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
• Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
• Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.