Trojan.Peacomm

Version imprimable

Détecté: January 19, 2007
Mis à jour : February 08, 2008 2:26:57 PM
Egalement appelé : Small.DAM [F-Secure], CME-711 [Common Malware Enumeration], Troj/Dorf-Fam [Sophos], Downloader-BAI!M711 [McAfee], TROJ_SMALL.EDW [Trend], W32/Tibs [Norman], Troj/Dorf-J [Sophos], W32/Zhelatin.gen!eml [McAfee], Email-Worm.Win32.Zhelatin [Kaspersky],
Type : Trojan
Etendue de l'infection : 29 347 octets ; 30 720 octets ; 32 387 octets ; 34 816 octets (varie)
Systèmes affectés : Windows

Trojan.Peacomm est un cheval de Troie qui dépose un fichier de programme de pilote afin de télécharger un autre programme. On signale qu'il se trouve en pièce jointe à un message électronique spam. Il peut également être déposé par http://www.symantec.com/security_response/writeup.jsp?docid=2006-122917-0740-99W32.Mixor.Q@mm.

On signale que Trojan.Peacomm arrive sous la forme d'une pièce jointe à un courrier électronique indésirable et présente les caractéristiques suivantes :

Objet :

L'un des suivants :

  • A killer at 11, he's free at 21 and kill again!
  • U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
  • British Muslims Genocide
  • Naked teens attack home director.
  • 230 dead as storm batters Europe.
  • Re: Your text
  • Radical Muslim drinking enemies's blood.
  • Chinese missile shot down Russian satellite
  • Chinese missile shot down Russian aircraft
  • Chinese missile shot down USA aircraft
  • Chinese missile shot down USA satellite
  • Russian missile shot down USA aircraft
  • Russian missile shot down USA satellite
  • Russian missile shot down Chinese aircraft
  • Russian missile shot down Chinese satellite
  • Saddam Hussein safe and sound!
  • Saddam Hussein alive!
  • Venezuelan leader: "Let's the War beginning".
  • Fidel Castro dead.

Pièce jointe :

L'une des suivantes :
  • More.exeFullClip.exeGreetingPostcard.exeMoreHere.exeFlashPostcard.exeGreetingCard.exeClickHere.exeReadMore.exeFlashPostcard.exeFullNews.exe
  • de FullVideo.exeFull
  • Story.exeVideo.exeRead

Remarque :
En raison du nombre croissant de virus soumis, Symantec Security Response a réévalué cette menace qui passe au Niveau 3 à compter du 22 janvier 2007.

Informations complémentaires :
Pour en savoir plus sur cette menace, consultez les entrées suivantes de blog de Symantec Security Response :

Dates de la protection antivirus

  • Version initiale des définitions Rapid Release January 19, 2007
  • Dernière version des définitions Rapid Release December 15, 2017 révision 008
  • Version initiale des définitions Daily Certified January 19, 2007
  • Dernière version des définitions Daily Certified December 16, 2017 révision 001
  • Date de la version initiale des définitions Weekly Certified January 22, 2007

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Rédigé par : Masaki Suenaga and Mircea Ciubotariu

Détecté: January 19, 2007
Mis à jour : February 08, 2008 2:26:57 PM
Egalement appelé : Small.DAM [F-Secure], CME-711 [Common Malware Enumeration], Troj/Dorf-Fam [Sophos], Downloader-BAI!M711 [McAfee], TROJ_SMALL.EDW [Trend], W32/Tibs [Norman], Troj/Dorf-J [Sophos], W32/Zhelatin.gen!eml [McAfee], Email-Worm.Win32.Zhelatin [Kaspersky],
Type : Trojan
Etendue de l'infection : 29 347 octets ; 30 720 octets ; 32 387 octets ; 34 816 octets (varie)
Systèmes affectés : Windows

Quand le Troyen est exécuté, il dépose le fichier suivant :
%System%\wincom32.sys

Le fichier ci-dessus est enregistré comme nouveau pilote de service de périphérique avec les caractéristiques suivantes :
Nom d'affichage : wincom32
Chemin binaire : %System%\wincom32.sys

Le Troyen crée alors la sous-clé de registre suivante pour installer le service ci-dessus :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32

Une fois chargé, le pilote de périphérique recherche le processus services.exe et y injecte un module.

Le Troyen peut alors cacher la présence du service de périphérique et de son fichier associé.

Il peut également réinitialiser l'ordinateur sans invitation quand la menace est exécutée pour la première fois.

Le Troyen dépose alors une liste chiffrée de points initiaux dans l'un des fichiers de configuration suivants :
%System%\peers.ini
%System%\wincom32.ini

Il ouvre les ports ci-après puis écoute sur ces ports qui sont utilisés pour des canaux de communication chiffrée avec d'autres points :

  • Port UDP 4000
  • Port UDP 7871
  • Port UDP 11271

Ensuite, le Troyen enregistre l'ordinateur compromis en tant que point dans le réseau existant de point à point, en utilisant le protocole Overnet en se connectant aux points indiqués dans la liste initiale de points.
Remarque : le protocole Overnet est utilisé par certaines applications de partage de fichiers, toutefois Peacomm utilise son propre réseau privé.

Le réseau point à point peut alors être utilisé par un utilisateur malveillant pour récupérer des informations sur les fichiers à télécharger et exécuter. Il récupère également des informations de points additionnels et met à jour son propre fichier de liste de points avec les informations recueillies.

Le Troyen peut alors télécharger et exécuter ce qui suit :
  • 217.107.217.187/game0.exe
  • 81.177.3.169/dir/game1.exe
  • 81.177.3.169/dir/game2.exe
  • 81.177.3.169/dir/game4.exe

Le Troyen peut être déposé par . Il peut également arriver comme pièce jointe à un message électronique spam avec les caractéristiques suivantes :

Objet :
L'un des suivants :
  • A killer at 11, he's free at 21 and kill again!
  • U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
  • British Muslims Genocide
  • Naked teens attack home director.
  • 230 dead as storm batters Europe.
  • Re: Your text
  • Radical Muslim drinking enemies's blood.
  • Chinese missile shot down Russian satellite
  • Chinese missile shot down Russian aircraft
  • Chinese missile shot down USA aircraft
  • Chinese missile shot down USA satellite
  • Russian missile shot down USA aircraft
  • Russian missile shot down USA satellite
  • Russian missile shot down Chinese aircraft
  • Russian missile shot down Chinese satellite
  • Saddam Hussein safe and sound!
  • Saddam Hussein alive!
  • Venezuelan leader: "Let's the War beginning".

Pièce jointe :

L'une des suivantes :
  • FullVideo.exe
  • Full Story.exe
  • Video.exe
  • Read More.exe
  • FullClip.exe
  • GreetingPostcard.exe
  • MoreHere.exe
  • FlashPostcard.exe
  • GreetingCard.exe
  • ClickHere.exe
  • ReadMore.exe
  • FlashPostcard.exe
  • FullNews.exe

Recommandations

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

Rédigé par : Masaki Suenaga and Mircea Ciubotariu

Détecté: January 19, 2007
Mis à jour : February 08, 2008 2:26:57 PM
Egalement appelé : Small.DAM [F-Secure], CME-711 [Common Malware Enumeration], Troj/Dorf-Fam [Sophos], Downloader-BAI!M711 [McAfee], TROJ_SMALL.EDW [Trend], W32/Tibs [Norman], Troj/Dorf-J [Sophos], W32/Zhelatin.gen!eml [McAfee], Email-Worm.Win32.Zhelatin [Kaspersky],
Type : Trojan
Etendue de l'infection : 29 347 octets ; 30 720 octets ; 32 387 octets ; 34 816 octets (varie)
Systèmes affectés : Windows

Les instructions suivantes sont valables pour tous les derniers produits antivirus de Symantec, y compris les gammes de produits Symantec AntiVirus et Norton AntiVirus.

  1. Désactiver l'option Restauration du système (Windows Me/XP).
  2. Actualiser les définitions de virus.
  3. Exécuter une analyse complète du système.
  4. Supprimer toutes les valeurs ajoutées au registre.

Pour plus de détails sur chacune des étapes, lisez les instructions suivantes.

1. Pour désactiver l'option Restauration du système (Windows Me/XP)
Si vous utilisez Windows Me ou Windows XP, nous vous conseillons de désactiver temporairement la restauration du système. Windows Me et XP utilisent cette fonctionnalité, activée par défaut afin de pouvoir restaurer des fichiers sur votre ordinateur, s'ils venaient à être endommagés. Si un ordinateur a été infecté par un virus, un ver ou un cheval de Troie, il est possible que ce virus, ver ou cheval de Troie soit sauvegardé par la Restauration du système.

Windows empêche des programmes tiers, y compris les programmes antivirus, de modifier la Restauration du système. Par conséquent, les programmes ou outils antivirus ne peuvent pas éradiquer les menaces dans le dossier de Restauration du système. Par conséquent, la Restauration du système peut restaurer un fichier infecté sur votre ordinateur même après avoir nettoyé les fichiers infectés sur tous les autres emplacements.

Une analyse antivirus peut également détecter une menace dans le dossier de restauration du système même si vous avez supprimé la menace.

Pour savoir comment désactiver la Restauration du système, consultez la documentation de Windows ou l'un des articles suivants :

Remarque : Lorsque vous avez terminé la procédure de suppression, et que vous pensez que la menace est éliminée, vous devriez réactiver la Restauration du système en suivant les instructions détaillées dans les documents cités ci-dessus.

Pour des informations complémentaires, et une alternative pour désactiver la Restauration de système de Windows Me, reportez-vous au document de la base de données de Microsoft : Les outils antivirus ne peuvent pas nettoyer les fichiers infectés dans le dossier _Restore (Numéro d'article : Q263455).

2. Pour mettre à jour les définitions de virus
Symantec Security Response réalise des tests complets de qualité pour toutes les définitions de virus avant leur publication sur nos serveurs. Il y a deux façons de se procurer les dernières définitions de virus :
  • La méthode la plus simple pour obtenir les dernières définitions de virus est d'exécuter LiveUpdate.
  • Télécharger les définitions à l'aide d'Intelligent Updater : Les définitions de virus d'Intelligent Updater sont publiées quotidiennement. Elles doivent être téléchargées depuis le site Web de Symantec Security Response et installées manuellement. Pour savoir si des définitions d'Intelligent Updater sont disponibles pour cette menace, reportez-vous aux Définitions de virus (Intelligent Updater).

Les dernières définitions de virus d'Intelligent Updater peuvent être obtenues ici : Définitions de virus d'Intelligent Updater . Pour des instructions détaillées, consultez le document : Comment mettre à jour les fichiers de définitions de virus en utilisant Intelligent Updater .

3. Pour exécuter une analyse complète du système
  1. Démarrez votre programme anti-virus Symantec et assurez-vous que ce dernier a été configuré pour analyser tous les fichiers.
  2. Exécuter une analyse complète du système.
  3. Si des fichiers sont détectés, suivez les instructions affichées par votre programme antivirus.
Important : Si vous ne pouvez pas démarrer votre produit antivirus de Symantec ou si le produit signale qu'il ne peut pas supprimer un fichier détecté, il est possible que vous deviez interrompre l'exécution du risque afin de le supprimer. Pour cela, exécutez l'analyse en mode sans échec. Pour des instructions détaillées, consultez le document intitulé Comment démarrer l'ordinateur en mode sans échec . Si vous avez redémarré l'ordinateur en mode sans échec, exécutez l'analyse une nouvelle fois.


Après avoir supprimé les fichiers, redémarrez l'ordinateur en mode normal et passez à la section suivante.

Des messages d'avertissement peuvent s'afficher lorsque l'ordinateur est redémarré, puisque la menace n'est peut-être pas encore totalement supprimée. Vous pouvez ignorer ces messages et cliquer sur OK. Ces messages ne s'afficheront plus au redémarrage de l'ordinateur lorsque vous aurez appliqué toutes les instructions de suppression. Les messages affichés peuvent ressembler au message suivant :

Titre : [CHEMIN D'ACCÈS DU FICHIER]
Corps du message : Windows cannot find [NOM DU FICHIER]. Vérifiez que vous avez tapé le nom correctement puis essayez de nouveau. Pour rechercher un fichier, cliquez sur le bouton Démarrer, puis cliquez sur Rechercher.

4. Pour supprimer la valeur du registre
Important : Avant de continuer, nous vous recommandons vivement d’effectuer une sauvegarde du registre avant d’y apporter des modifications. Toute modification incorrecte du registre pourrait entraîner la perte définitive de données ou la corruption de fichiers. Ne modifiez que les sous-clés indiquées. Pour obtenir des instructions, consultez le document intitulé Comment faire une copie de sauvegarde du Registre de Windows .
  1. Cliquez sur Démarrer > Exécuter.
  2. Tapez regedit
  3. Cliquez sur OK.

    Remarque :Si l'Editeur du Registre ne s'ouvre pas, il est possible que la menace ait modifié le registre pour empêcher l'accès à l'Editeur du Registre. Security Response a développé un outil pour résoudre ce problème. Téléchargez et exécutez cet outil puis continuez la suppression.

  4. Recherchez la sous-clé de registre suivante et supprimez-la :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32

  5. Quittez l’Editeur du Registre.

Rédigé par : Masaki Suenaga and Mircea Ciubotariu