W32.Spybot.ANDM

Lorsque W32.Spybot.ANDM s'exécute, il réalise les opérations suivantes :

1. Se copie sous l'un des noms de fichier suivants :
   
   
   • %System%\wnuserv.exe
   • %System%\ctfmom.exe
   • %System%\napi32.exe
   • %System%\soundman.exe
     
     Remarque : %System% est une variable qui fait référence au dossier System. Il s'agit par défaut de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).
     
     
2. Crée un fichier batch temporaire nommé c:\a.bat, qui crée à son tour un fichier de registre dans le dossier temporaire nommé 1.reg.
   
   
3. Ajoute les valeurs :
   
   "Windows System Service" = "wnuserv.exe"
   "Windows System Service" = "wnuserv.exe"
   "Windows Update Firewall System" = "ctfmom.exe"
   "Windows Update Firewall System" = "ctfmom.exe"
   "Windows Logon Service" = "napi32.exe"
   "Windows Logon Service" = "napi32.exe"
   "Microsoft Sounds" = "soundman.exe"
   "Microsoft Sounds" = "soundman.exe"
   
   à la sous-clé de registre :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   
   de sorte qu'il s'exécute à chaque démarrage de Windows.
   
   
4. Ajoute la valeur :
   
   "Windows System Service" = "wnuserv.exe"
   
   à la sous-clé de registre :
   
   HKEY_CURRENT_USER\Software\Microsoft\OLE\Windows
   
   
5. Modifie la valeur :
   
   "TransportBindName" = ""
   
   dans la sous-clé de registre :
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
   
   
6. Modifie la valeur :
   
   "Start" = "4"
   
   dans les sous-clés de registre :
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc
   
   
7. Modifie les valeurs :
   
   "EnableDCOM" = "N"
   "EnableRemoteConnect" = "N"
   
   dans la sous-clé de registre :
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
   
   
8. Modifie la valeur :
   
   "restrictanonymous" = "1"
   
   dans la sous-clé de registre :
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
   
   pour empêcher l'énumération de session NULL de l'hôte.
   
   
9. Modifie la valeur :
   
   "Enabled" = "0"
   
   dans la sous-clé de registre :
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT1.0\Server
   
   
10. Modifie les valeurs :
    
    "AutoShareWks" = "0"
    "AutoShareServer" = "0"
    
    dans la sous-clé de registre :
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
    
    
11. Modifie les valeurs :
    
    "NameServer" = ""
    "ForwardBroadcasts" = "0"
    "IPEnableRouter" = "0"
    "Domain" = ""
    "SearchList" = ""
    "UseDomainNameDevolution" = "1"
    "EnableICMPRedirect" = "0"
    "DeadGWDetectDefault" = "1"
    "DontAddDefaultGatewayDefault" = "0"
    "EnableSecurityFilters" = "1"
    "AllowUnqualifiedQuery" = "0"
    "PrioritizeRecordData" = "1"
    "TCP1320Opts" = "3"
    "KeepAliveTime" = "23280"
    "BcastQueryTimeout" = "002ee"
    "BcastNameQueryCount" = "1"
    "CacheTimeout" = "0ea60"
    "Size/Small/Medium/Large" = "3"
    "LargeBufferSize" = "01000"
    "SynAckProtect" = "2"
    "PerformRouterDiscovery" = "0"
    "EnablePMTUBHDetect" = "0"
    "FastSendDatagramThreshold " = "400"
    "StandardAddressLength " = "18"
    "DefaultReceiveWindow " = "4000"
    "DefaultSendWindow" = "4000"
    "BufferMultiplier" = "200"
    "PriorityBoost" = "2"
    "IrpStackSize" = "4"
    "IgnorePushBitOnReceives" = "0"
    "DisableAddressSharing" = "0"
    "AllowUserRawAccess" = "0"
    "DisableRawSecurity" = "0"
    "DynamicBacklogGrowthDelta" = "32"
    "FastCopyReceiveThreshold" = "400"
    "LargeBufferListDepth" = "a"
    "MaxActiveTransmitFileCount" = "2"
    "MaxFastTransmit" = "40"
    "OverheadChargeGranularity" = "1"
    "SmallBufferListDepth" = "20"
    "SmallerBufferSize" = "80"
    "TransmitWorker" = "20"
    "DNSQueryTimeouts" = "31,00,00,00,32,00,00,00,32,00,00,00,34,00,00,00,38,00,00,00,30,00,00,00,00,00"
    "DefaultRegistrationTTL" = "14"
    "DisableReplaceAddressesInConflicts" = "0"
    "DisableReverseAddressRegistrations" = "1"
    "UpdateSecurityLevel " = "0"
    "DisjointNameSpace" = "1"
    "QueryIpMatching" = "0"
    "NoNameReleaseOnDemand" = "1"
    "EnableDeadGWDetect" = "0"
    "EnableFastRouteLookup" = "1"
    "MaxFreeTcbs" = "7d0"
    "MaxHashTableSize" = "800"
    "SackOpts" = "1"
    "Tcp1323Opts" = "3
    "TcpMaxDupAcks" = "1"
    "TcpRecvSegmentSize" = "585"
    "TcpSendSegmentSize" = "585"
    "TcpWindowSize" = "7d200"
    "DefaultTTL" = "30"
    "TcpMaxHalfOpen" = "4b"
    "TcpMaxHalfOpenRetried" = "50"
    "TcpTimedWaitDelay" = "0"
    "MaxNormLookupMemory" = "30d40"
    "FFPControlFlags" = "1"
    "FFPFastForwardingCacheSize" = "30d40"
    "MaxForwardBufferMemory" = "19df7"
    "MaxFreeTWTcbs" = "7d0"
    "GlobalMaxTcpWindowSize" = "7d200"
    "EnablePMTUDiscovery" = "1"
    "ForwardBufferMemory" = "19df7"
    
    dans la sous-clé de registre :
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    
    
12. Modifie les valeurs :
    
    "MaxConnectionsPer1_0Server" = "50"
    "MaxConnectionsPerServer" = "50"
    
    dans la sous-clé de registre :
    
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    
    
13. Commence à enregistrer les frappes de clavier chaque fois que l'utilisateur tente d'accéder aux sites qui contiennent les chaînes suivantes :
    
    
    • e-gold
    • PayPal
    • StormPay
    • Vodafone
    • Poste Italiane
    • eBay
    • Yahoo!
    • Banca Sella
    • Email
    • Bank of America
    • exploit
    • Benvenuto a gmail
    • Msn
    • pagamento paga
      
      
14. Ouvre une porte dérobée et se connecte à un serveur IRC grâce à l'un des hôtes suivants :
    
    
    • baba.bestunix.org
    • server.cisco-systems.jp
    • pepe83.rr.nu
    • pepe84.rr.nu
    • pepe85.rr.nu
      
      
15. L'attaquant peut effectuer les actions suivantes sur l'ordinateur infecté :
    
    
    • Copier ou supprimer des fichiers
    • Transférer et télécharger des fichiers
    • Dérober les clés de CD de divers jeux
    • Enregistrer les frappes de clavier et enregistrer les vidéos de webcam
    • Afficher le statut
    • Afficher l'adresse IP
    • Analyser les ports du réseau à la recherche d'ordinateurs vulnérables
    • Analyser les vulnérabilités
    • Lancer ftp et tftp
    • Démarrer Internet Explorer
    • Arrêter des processus
    • Arrêter d'autres vers
    • Arrêter des services liés à la sécurité
    • Répertorier des processus
    • Utiliser un analyseur réseau
      
      
16. Se propage en exploitant les vulnérabilités suivantes :
    
    
    • Vulnérabilité de saturation de la mémoire tampon dans l'interface d'appel de procédure distante RPC du modèle DCOM Windows (décrite dans le bulletin de sécurité de Microsoft MS03-026).
    • Les vulnérabilités dans la bibliothèque ASN.1 (décrite dans le bulletin de sécurité de Microsoft MS04-007).
    • La saturation de la mémoire tampon dans le service Local Security Authority de Microsoft Windows (décrite dans le bulletin de sécurité de Microsoft MS04-011).
    • La vulnérabilité de contournement d'authentification RealVNC (décrite dans l'article CVE- 2006-2369).
    • L'élévation des privilèges de Symantec Client Security et Symantec AntiVirus (décrite dans l'article Symantec Advisory SYM06-010).
    • L'audit Microsoft SQL Server 2000 ou MSDE 2000 (décrit dans le bulletin de sécurité de Microsoft MS02-061), à l'aide du port UDP 1433.
      
      
17. Tente de se propager par mIRC et sur les partages réseau protégés par des mots de passe peu sécurisés.

Ce ver tente d'exploiter une vulnérabilité déjà identifiée dans Symantec Client Security et Symantec AntiVirus : SYM06-010. Les correctifs pour cette vulnérabilité affectant ce produit Symantec sont disponibles depuis le jeudi 25 mai 2006. Par conséquent, les clients qui ont appliqué le correctif dans leur environnement sont protégés contre la tentative d'attaque du ver par l'intermédiaire de cette vulnérabilité. Les clients utilisant Symantec Client Security ou des produits disposant de la prévention d'intrusion Symantec (IPS) sont protégés contre toutes les tentatives d'exploitation, connues ou non, de la vulnérabilité SYM06-010 grâce aux signatures IPS publiées le 26 mai 2006.

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

• Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
• Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
• Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
• Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
• Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
• Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
• Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.

Résumé