Symantec Security Response
http://securityresponse.symantec.com

Trojan.Ascetic.C

Découvert le : 15/05/2005

Dernière mise à jour le : 26/05/2005

Trojan.Ascetic.C est un cheval de Troie qui utilise son propre moteur SMTP pour envoyer le courrier électronique de spam aux adresses recueillies à partir de l'ordinateur compromis. Le courrier électronique peut être en anglais ou en allemand.

Remarque : Les définitions avant le 16 mai 2005 peuvent détecter cette menace comme W32.Sober.P@mm.

Egalement appelé : W32.Sober.P@mm, Win32.Sober.O [Computer Associates], Email-Worm.Win32.Sober.q [Kaspersky Lab], W32/Sober.q [McAfee], Troj/Sober-Q [Sophos], WORM_SOBER.U [Trend Micro]

Type : Trojan Horse

Etendue de l’infection : 53 792 octets

Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Protection

Définitions de virus (Intelligent Updater) *

16/05/2005

Définitions de virus (LiveUpdate™) **

16/05/2005

*

Les définitions de virus de l’Intelligent Updater sont diffusées quotidiennement, mais requièrent un téléchargement et une installation manuels.
Cliquez ici pour télécharger manuellement.

**

Les définitions de virus de LiveUpdate sont généralement diffusées chaque mercredi.
Cliquez ici pour obtenir les instructions sur l’utilisation de LiveUpdate

Wild

Métrique de la menace

Wild : Faible	Dommages : Moyen	Distribution : Faible

Dommages

Elément déclencheur : Ne s'applique pas
Charge utile : Envoie des courriers électroniques de spam.
- Envoie du courrier électronique à grande échelle : Envoie le courrier électronique de spam en anglais ou allemand.
- Supprime les fichiers : Ne s'applique pas
- Modifie les fichiers : Remplace luall.exe.
- Dégrade les performances : Ne s'applique pas
- Provoque l’instabilité du système : Ne s'applique pas
- Divulgue des informations confidentielles : Ne s'applique pas
- Compromet les paramètres de sécurité : Essaie de terminer des processus liés à la sécurité.

Distribution

Objet du courrier électronique : Ne s'applique pas
Nom de la pièce jointe : Ne s'applique pas
Taille de la pièce jointe : Ne s'applique pas
Date de la pièce jointe : Ne s'applique pas
Ports : Ne s'applique pas
Lecteurs partagés : Ne s'applique pas
Cible de l’infection : Ne s'applique pas

détails techniques

Lorsque Trojan.Ascetic.C s'exécute, il réalise les opérations suivantes :

Crée les fichiers suivants :

%Windir%\Help\Help\csrss.exe (copie du troyen)
%Windir%\Help\Help\smss.exe (copie du troyen)
%Windir%\Help\Help\services.exe (copie du troyen)
%Windir%\Help\Help\sacri1.ggg
%Windir%\Help\Help\sacri2.ggg
%Windir%\Help\Help\sacri3.ggg
%Windir%\Help\Help\voner1.von
%Windir%\Help\Help\voner2.von
%Windir%\Help\Help\voner3.von
%Windir%\Help\Help\sysonce.tst
%Windir%\Help\Help\fastso.ber
%System%\nonrunso.ber
%System%\langeinf.lin
%System%\gdfjgthv.cvq
%System%\seppelmx.smx
%System%\adcmmmmq.hjg
%System%\xcvfpokd.tqa
%System%\fastso.ber

Remarques :
%Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows (Windows 95/98/Me/XP) ou C:\Winnt (Windows NT/2000).
% System% est une variable qui fait référence au dossier System. Par défaut, il s'agit de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).
Les fichiers sacri1.ggg, sacri2.ggg, sacri3.ggg, voner1.von, voner2.von, voner3.von, sysonce.tst, fastso.ber, adcmmmmq.hjg, langeinf.lin, nonrunso.ber, seppelmx.smx, xcvfpokd.tqa ne sont pas malveillants.

Ajoute la valeur :
"SystemBoot" = "%Windir%\Help\Help\services.exe"

aux sous-clés de registre :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

de sorte que le cheval de Troie s'exécute à chaque démarrage de Windows.

Vérifie la connexion réseau en contactant un serveur NTP sur le port 37 ou en se connectant à l'un des domaines suivants :

microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com

Recueille des adresses électroniques dans les fichiers aux extensions suivantes :

.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml

Le troyen évite des adresses électroniques contenant les chaînes suivantes :
-dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

Essaie de terminer les processus dont les noms contiennent les chaînes suivantes :

microsoftanti
gcas
gcip
giantanti
inetupd.
nod32kui
nod32.
fxsob
s-t-i-n-g
hijack
sober

Supprime les fichiers suivants s'ils existent :

%ProgramFiles%\Symantec\Liveupdate\a*.exe
%ProgramFiles%\Symantec\Liveupdate\luc*.exe
%ProgramFiles%\Symantec\Liveupdate\ls*.exe
%ProgramFiles%\Symantec\Liveupdate\luu*.exe

Remarque : %ProgramFiles% est une variable qui se rapporte au dossier program files. Par défaut, c'est C:\Program Files.

Remplace le fichier %Program Files%\Symantec\Liveupdate\luall.exe par une copie de lui-même s'il existe.

Ajoute la valeur :

"EnableFirewall" = "0"

aux sous-clés de registre :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile

pour diminuer des paramètres de sécurité.

Ajoute la valeur :

"AUOptions" = "0"

à la sous-clé de registre :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update

pour empêcher l'installation du Service Pack 2 de Windows XP sur l'ordinateur infecté.

Essaie de télécharger un fichier des domaines suivants, si la date, après vérification par des serveurs de NTP, est le 11 mai 2005 ou plus tard :

free.pages.at
home.arcor.de
home.pages.at
people.freenet.de
scifi.pages.at

Remarque : Au moment où cet article a été rédigé, aucun fichier ne se trouvait aux URL ci-dessus.

Symantec Security Response invite utilisateurs et administrateurs à adopter les mesures de base les plus efficaces en matière de sécurité :

Eteignez et supprimez tous les services inutiles. Par défaut, de nombreux systèmes d’exploitation installent des services auxiliaires qui ne sont pas primordiaux, tels qu’un client FTP, telnet, et un serveur Web. Ces services sont la porte ouverte aux attaques. S’ils sont supprimés, les attaques ont moins de chances de parvenir et vous avez moins de services à entretenir au moyen de correctifs.

Si une attaque multiple exploite un ou plusieurs services réseau, désactivez ou bloquez l’accès à ces services jusqu’à ce qu’un correctif soit appliqué.

Maintenez toujours le niveau de vos correctifs à jour, en particulier sur les ordinateurs qui hébergent des services publics et qui sont accessibles via un firewall, tels que HTTP, FTP, messagerie, et services DNS.

Appliquez une stratégie un mot de passe. Sur les ordinateurs compromis, il est plus difficile de violer les fichiers de mots de passe si ceux-ci sont complexes. Ceci vous permet d’éviter ou de limiter les dommages potentiels encourus par un ordinateur compromis.

Configurez votre serveur de messagerie afin de bloquer ou de supprimer les e-mails qui contiennent des annexes couramment utilisées pour propager des virus, comme par exemple les fichiers .vbs, .bat, .exe, .pif et .scr.

Isolez rapidement les ordinateurs infectés afin d’éviter de compromettre d’avantage votre organisation. Effectuez une analyse complète et restaurez les ordinateurs utilisant des médias approuvés.

Exhortez les employés à n’ouvrir que les pièces jointes attendues. Aussi, n’exécutez aucun logiciel téléchargé depuis Internet qui n’a pas subi de recherche de virus. Le simple fait de visiter un site Internet compromis peut provoquer une infection si certaines vulnérabilités du navigateur ne sont pas corrigées.

Les instructions suivantes sont valables pour tous les derniers produits antivirus de Symantec, y compris les gammes de produits Symantec AntiVirus et Norton AntiVirus.

Désactiver l'option Restauration du système (Windows Me/XP).
Actualiser les définitions de virus.
Exécuter une analyse complète du système et supprimer tous les fichiers détectés.
Réinstaller le programme antivirus de Symantec.
Supprimer toutes les valeurs ajoutées au registre.
Restaurer le Centre de sécurité Windows.

Remarque : Lorsque vous avez terminé la procédure de suppression, et que vous pensez que la menace est éliminée, vous devriez réactiver la Restauration du système en suivant les instructions détaillées dans les documents cités ci-dessus.

Pour des informations supplémentaires et une alternative à la désactivation de la Restauration du système Windows Me, consultez l'article de la base de connaissances de Microsoft : Les outils antivirus ne peuvent pas nettoyer les fichiers infectés dans le dossier _Restore, Numéro d'article : Q263455.

2. Pour mettre à jour les définitions de virus
Symantec Security Response réalise des tests complets de qualité pour toutes les définitions de virus avant leur publication sur nos serveurs. Il y a deux façons de se procurer les dernières définitions de virus :

La méthode la plus simple pour obtenir les dernières définitions de virus est d'exécuter LiveUpdate : Celles-ci sont publiées chaque semaine sur les serveurs LiveUpdate (en principe tous les mercredis) sauf en cas d'attaque virale critique. Pour déterminer si les définitions pour cette menace sont disponibles via LiveUpdate, reportez-vous au document : Virus Definitions (LiveUpdate).
L'autre consiste à télécharger les définitions de virus en utilisant Intelligent Updater : Les définitions de virus d'Intelligent Updater sont publiées quotidiennement. Elles doivent être téléchargées sur le site Web de Symantec Security Response puis installées manuellement. Pour déterminer si les définitions pour cette menace sont disponibles via Intelligent Updater, reportez-vous au document : Virus Definitions (Intelligent Updater).

Les dernières définitions de virus d'Intelligent Updater peuvent être obtenues ici : définitions de virus d'Intelligent Updater Pour obtenir des instructions détaillées consultez le document : Comment mettre à jour les fichiers de définitions de virus en utilisant Intelligent Updater.

3. Pour analyser et supprimer les fichiers infectés

Démarrez votre programme anti-virus Symantec et assurez-vous que ce dernier a été configuré pour analyser tous les fichiers.
- Pour les produits Norton AntiVirus destinés au grand public : Consultez le document intitulé : Comment configurer Norton AntiVirus afin d'analyser tous les fichiers.
- Pour les produits Symantec AntiVirus destinés aux entreprises : Consultez le document intitulé : Comment vérifier qu'un produit antivirus Corporate Edition de Symantec est configuré afin d'analyser tous les fichiers.
Exécutez une analyse complète du système.
Si des fichiers sont détectés, cliquez sur Supprimer.

Important :Si votre produit antivirus Symantec signale qu'il ne peut pas supprimer un fichier détecté, il est possible que ce fichier soit utilisé par Windows. Pour résoudre ce problème, exécutez l'analyse en mode sans échec. Pour des instructions détaillées, consultez le document intitulé : Comment démarrer l'ordinateur en mode sans échec. Si vous avez redémarré l'ordinateur en mode sans échec, exécutez l'analyse une nouvelle fois.

Après avoir supprimé les fichiers, redémarrez l'ordinateur en mode normal et passez à la section suivante.

Des messages d'avertissement peuvent s'afficher lorsque l'ordinateur est redémarré, puisque la menace n'est peut-être pas encore totalement supprimée. Vous pouvez ignorer ces messages et cliquer sur OK. Ces messages ne s'afficheront plus au redémarrage de l'ordinateur lorsque vous aurez appliqué toutes les instructions de suppression. Les messages affichés peuvent ressembler au message suivant :

Objet : [Chemin du fichier]
Corps du message : Windows ne peut pas trouver [nom du fichier]. Vérifiez que vous avez saisi le nom correct puis réessayez. Pour rechercher un fichier, cliquez sur le bouton Démarrer puis cliquez sur Rechercher.

4. Pour réinstaller votre programme antivirus de Symantec
Ce virus tente de supprimer les fichiers et sous-clés de registre utilisés par votre programme antivirus Symantec et vous devrez peut-être réinstaller le programme. Si votre programme antivirus de Symantec ne fonctionne pas correctement, désinstallez-le, puis réinstallez-le.

5. Pour supprimer la valeur du registre
Important : Nous vous recommandons vivement d’effectuer une sauvegarde du registre avant d’y apporter des modifications. Une modification incorrecte du registre peut provoquer la perte définitive de données ou la corruption de fichiers. Ne modifiez que les sous-clés indiquées. Pour des instructions détaillées, reportez-vous au document : Comment faire une copie de sauvegarde du Registre de Windows.

Cliquez sur Démarrer > Exécuter.
Tapez regedit
Cliquez sur OK.

Remarque : Si l'Editeur du Registre ne s'ouvre pas, la menace a pu modifier le registre pour en empêcher l'accès. Security Response a développé un outil permettant de résoudre ce problème. Téléchargez et exécutez cet outil, puis poursuivez la suppression.
Accédez aux sous-clés :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Dans le volet de droite, supprimez la valeur :

"SystemBoot" = "%Windir%\Help\Help\services.exe"
Quittez l’Editeur du Registre.

6. Pour restaurer le Centre de sécurité Windows
Cette menace essaie de désactiver les fonctionnalités dans le Centre de sécurité Windows, disponible dans le Service Pack 2 de Windows XP. Si vous exécutez le Service Pack 2 de Windows XP et souhaitez restaurer la pleine fonctionnalité du Centre de sécurité Windows, réalisez les étapes suivantes :

Important : Si votre ordinateur est connecté à un domaine, il est possible que vous ne puissiez pas ajuster ces paramètres. Si c'est le cas, contactez votre administrateur réseau pour plus d'informations.

Cliquez sur Démarrer > Panneau de configuration.
Cliquez deux fois sur le Centre de sécurité.
Dans le volet droit, cliquez sur Pare-feu Windows. Le pare-feu de Windows apparaît.
Sélectionnez Activé.
Cliquez sur OK pour fermer le pare-feu Windows.
Dans le volet de gauche du Centre de sécurité, sélectionnez Modifier la façon dont le Centre de sécurité me prévient.
Cliquez sur Paramètres d'alerte.
Sélectionnez Paramètres d'alerte, Pare-feu, et Protection antivirus.
Cliquez sur OK.
Cliquez sur Mises à jour automatiques.
Sélectionnez Automatique.
Cliquez sur OK.
Quittez le centre de sécurité.

Historique :

16.05.05 : Renommé de W32.Sober.P@mm à Trojan.Ascetic.C.

Version anglaise de ce document

Cliquez ici pour lire ce document en anglais

Remarque : En raison du temps nécessaire à la traduction, il est possible que le contenu des documents traduits diffère du contenu original, si celui-ci a été mis à jour alors que la traduction était en cours. Le document en anglais contient toujours les dernières mises à jour.

Article rédigé par : Rodney Andres

Egalement appelé :	W32.Sober.P@mm, Win32.Sober.O [Computer Associates], Email-Worm.Win32.Sober.q [Kaspersky Lab], W32/Sober.q [McAfee], Troj/Sober-Q [Sophos], WORM_SOBER.U [Trend Micro]

Type :	Trojan Horse
Etendue de l’infection :	53 792 octets



Systèmes affectés :	Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP