Trojan.Peacomm

Quand le Troyen est exécuté, il dépose le fichier suivant :
%System%\wincom32.sys

Le fichier ci-dessus est enregistré comme nouveau pilote de service de périphérique avec les caractéristiques suivantes :
Nom d'affichage : wincom32
Chemin binaire : %System%\wincom32.sys

Le Troyen crée alors la sous-clé de registre suivante pour installer le service ci-dessus :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32

Une fois chargé, le pilote de périphérique recherche le processus services.exe et y injecte un module.

Le Troyen peut alors cacher la présence du service de périphérique et de son fichier associé.

Il peut également réinitialiser l'ordinateur sans invitation quand la menace est exécutée pour la première fois.

Le Troyen dépose alors une liste chiffrée de points initiaux dans l'un des fichiers de configuration suivants :
%System%\peers.ini
%System%\wincom32.ini

Il ouvre les ports ci-après puis écoute sur ces ports qui sont utilisés pour des canaux de communication chiffrée avec d'autres points :

• Port UDP 4000
• Port UDP 7871
• Port UDP 11271

Ensuite, le Troyen enregistre l'ordinateur compromis en tant que point dans le réseau existant de point à point, en utilisant le protocole Overnet en se connectant aux points indiqués dans la liste initiale de points.
Remarque : le protocole Overnet est utilisé par certaines applications de partage de fichiers, toutefois Peacomm utilise son propre réseau privé.

Le réseau point à point peut alors être utilisé par un utilisateur malveillant pour récupérer des informations sur les fichiers à télécharger et exécuter. Il récupère également des informations de points additionnels et met à jour son propre fichier de liste de points avec les informations recueillies.

Le Troyen peut alors télécharger et exécuter ce qui suit :

• 217.107.217.187/game0.exe
• 81.177.3.169/dir/game1.exe
• 81.177.3.169/dir/game2.exe
• 81.177.3.169/dir/game4.exe

Le Troyen peut être déposé par . Il peut également arriver comme pièce jointe à un message électronique spam avec les caractéristiques suivantes :

Objet :
L'un des suivants :

• A killer at 11, he's free at 21 and kill again!
• U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
• British Muslims Genocide
• Naked teens attack home director.
• 230 dead as storm batters Europe.
• Re: Your text
• Radical Muslim drinking enemies's blood.
• Chinese missile shot down Russian satellite
• Chinese missile shot down Russian aircraft
• Chinese missile shot down USA aircraft
• Chinese missile shot down USA satellite
• Russian missile shot down USA aircraft
• Russian missile shot down USA satellite
• Russian missile shot down Chinese aircraft
• Russian missile shot down Chinese satellite
• Saddam Hussein safe and sound!
• Saddam Hussein alive!
• Venezuelan leader: "Let's the War beginning".

Pièce jointe :
L'une des suivantes :

• FullVideo.exe
• Full Story.exe
• Video.exe
• Read More.exe
• FullClip.exe
• GreetingPostcard.exe
• MoreHere.exe
• FlashPostcard.exe
• GreetingCard.exe
• ClickHere.exe
• ReadMore.exe
• FlashPostcard.exe
• FullNews.exe

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

• Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
• Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
• Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
• Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
• Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
• Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
• Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.

Résumé