minipouss un mini mini | ===========
8. Archives Virus
===========
/!\ Encore un Bagz!!! /!\ W32.Bagz.F@mm et W32.Bagz.H@mm (Symantec), W32/Bagz.f@MM , W32/Bagz.g@MM et W32/Bagz.gen@MM (Mac Afee), WORM_BAGZ.E et WORM_BAGZ.F (Trend), W32/Bagz-F (Sophos) et Win32.Bagz.F (Computer Associates)
Propagation : par mail en anglais, différents sujets, plusieurs corps de texte de 4-5 lignes différents pour amener à ouvrir la pièces jointe qui est un .doc(plein d'espaces).exe ou la même chose mais dans un zip (about admin archivator archives ataches backup docs documentation help inbox manual outbox payment photos rar readme save sqlssl zip)
Symptômes :
- Crée plusieurs fichiers dans le répertoire %system%, à savoir sqlssl.doc[many spaces].exe , sysinfo32.exe (102400 octets) et trace32.exe (40448 octets) ainsi que les dll suivantes permettant de stocker des données ipdb.dll jobdb.dll et wdate.dll (qui contient la date et l'heure de l'infection)
- Enregistre un service avec une clé nommée Xuy v palto ou ALEXORA
sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ avec les propriétés suivantes : "Nom: Windows Secure SSL" "Chemin: %System%\TRACE32.EXE" "Description: This service implements the secure HyperText Transfer Protocol (HTTPS) for the HTTP service."
Actions :
- Modifie le fichier hosts pour bloquer l'accès à de nombreux sites web ( sécurité, divers sites microsoft et des sites de pubs (ad.doubleclick.net par exemple) )
- Fouille l'ensemble de la base de registre afin de supprimer un très grand nombre de clés en relation avec pleins d'applications de sécurité
- sysinfo32.exe permet normalement au virus de télécharger et d'exécuter des fichiers à partir des domaines groundworm.biz et warfed.biz mais la fonction semble foireuse
/!\ les derniers Bagle!!! /!\ Alerte Secunia
Propagation : tous par mail en anglais ( sujet en "Re:..." ) avec fichier attaché nommé price ou Joke et extension .com .cpl .exe ou .scr et partage sous des noms de logiciels connus dans les répertoires dont le nom contient "shar"
Symptômes : fichier bawindo.exe ou wingo.exe dans le répertoire %system% et clé RUN correspondante dans la base de registre
Actions :
- arrête les services suivants : "SharedAccess" - Internet Connection Sharing et "wscsvc" - MS security center
- supprime les clé suivantes dans les clés RUN : My AV, Zone Labs Client Ex, 9XHtProtect, Antivirus, Special Firewall Service, service, Tiny AV, ICQNet, HtProtect, NetDy, Jammer2nd, FirewallSvr, MsInfo, SysMonXP, EasyAV, PandaAVEngine, Norton Antivirus AV, KasperskyAVEng, SkynetsRevenge, ICQ Net
- ouvre une backdoor sur le port 81 en TCP
- essaye de télécharger un fichier à partir d'une liste prédéfinie de site web pour le sauver en tant que %System%\re_file.exe
/!\ Microsoft n'envoie pas de mail !!! /!\
VBS/Obvious-A (Sophos)
Petit script en Visual Basic qui s'envoie par mail en se faisant passer pour le service technique de Microsoft. Il essaye de télécharger un code qui pourrait être un ver de la famille des Melissa 
Expéditeur : "msupport"
Sujet : "Microsoft Critical Update"
Message : "Dear Windows User
Our Windows watch server has detected that you have not got full protection
against viruses and spyware. Open the attachment to recieve the update manager"
Fichier attaché : le script sous un nom .exe ou .vbs
J'en profite donc ici pour redire que Microsoft n'envoie JAMAIS de message pour des patchs !!!
/!\ Buchon (Un "faux" Netsky) /!\
W32.Buchon.A@mm (anciennement nommé W32.Netsky.AE@mm) (Symantec), W32/Buchon.gen@MM (anc. nommé W32/Netsky.ah@MM) (Mac Afee), WORM_BUCHON.A (anc. nommé WORM_NETSKY.AI) (Trend), W32/Baba-A (anc. nommé W32/Netsky-AE) (Sophos) et Win32.Buchon.B (anc. nommé Win32.Netsky.AG) (Computer Associates)
Propagation : par mail (avec expéditeur et destinataire pris dans les carnets d'adresses .dat .dbx .eml .mbx .mdb .tbb .wab et les fichiers dont le nom contient Inbox) avec pour sujet "Mail Delivery failure - %adresse du destinataire%", corps de message "If the message will not displayed automatically, you can check original in attached message.txt. Failed message also saved at: www.%domain.com%/inbox/security/re [...] id-(random 4 digit number) (check attached instructions) +++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com" et un fichier attaché "message txt (bcp d'espaces) length %random number% bytes (bcp d'espaces) mcafee.com" qui contient en fait le virus en .com ou .exe
Symptômes :
- Crée un fichier csrss.exe (même nom que le vrai) placé à la racine "c:\" qui une fois exécuté crée [/i]csrss.bin[/i] (non malicieux) au même endroit
- Une clé de BDR pour se lancer au démarrage "Key Logger" = c:\csrss.exe" placé dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Action : il agit comme un serveur proxy et peut aussi télécharger et exécuter des fichiers sur le pc infecté. Il envoie des notifications HTTP (SYN packets) à des adresse IP aléatoires (parmi 209 qui sont dans son code) sur un port aléatoire situé entre 28032 et 28455. Et il envoie le fichier csrss.bin qui contient des données du pc. une fois tout cela fait, il supprime l'entrée de la bdr.
En fait il y a deux variantes à peu près du même type et elles ont semble-t-il des bugs qui peuvent faire qu'elles ne fonctionnent pas 
/!\ Détection des WMF et EMF Malicieux /!\
Symantec a ajouté à sa liste de signature la possiblité de détecter les fichiers .wmf et .emf malformés en relation avec la faille MS04-032 corrigée le 12 Octobre dernier par Microsoft. Cette détection est appelée Bloodhound.Exploit.17
Idem pour Trend et deux types de fichiers .emf malformés EXPL_EMFSHELL.A et EXPL_EMFDOWN.A
/!\ Darby le très complet et complexe /!\ W32.Darby.B (Symantec), W32/Darby.worm.gen (Mac Afee), WORM_DARBY.O (Trend) et W32/Darby-N (Sophos)
Propagation :
- Par mail auto-envoyé aux contacts d'Outlook avec sujet en anglais et fichier attaché .pif .com .scr ou .zip
- Par mail en modifiant de nombreuses clés de la BDR afin de transformer le comportement d'Outlook, et en se copiant de manière à servir de Modèle pour les mails en HTML. Le fichier utilisé (microsoftweb.htm) utilise une faille d'Outlook permettant de télécharger un fichier juste en lisant un mail (faille corrigée)
- En se copiant sous de très nombreux noms dans les répertoires partagés de beaucoup de logiciels de P2P
- Par IRC aussi
Symptômes :
- Une fois exécuté il affiche un message d'erreur en anglais ou espagnol selon les paramètres du pc infecté pour annoncer qu'il est impossible d'ouvrir le fichier car il est défectueux
- Crée une ou plusieurs copie de lui-même dans le répertoire %System% sous un nom aléatoire dont les noms suivants (ACCDEFRAGINFO, CDGGROUPS386, DOSRUNDLDLL, IMAGE0X, KILLUSA, MICROROUTESTAT, NETRUNDLDRV, W2KEXPLORERBRD, W2KRUNDLSET, WINDEFRAGUPD, XPWIEKLIBl) avec comme extension .com .exe .pif ou .scr
- Afin de démarre avec Windows il crée toutes les clés suivantes dans la base de registre : HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows run = "<Malware path>" ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Bardiel StubPath = "<Malware path>" ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run ACCDEFRAGINFO = "<Malware path>" ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ACCDEFRAGINFO = "<Malware path>" ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogon Shell = "EXPLORER.EXE <Malware path>"
- Afin de s'exécuter à chaque lancement d'un fichier .BAT, .COM, .EXE, .PIF ou .SCR sur le pc, il crée la clé suivante @ = "%System%\<Malware path>\"%1\" %*" dans l'arborescnce de la BDR : HKEY_CLASSES_ROOT\batfile\shell\open\command ; HKEY_CLASSES_ROOT\comfile\shell\open\command ; HKEY_CLASSES_ROOT\exefile\shell\open\command ; HKEY_CLASSES_ROOT\piffile\shell\open\command ; HKEY_CLASSES_ROOT\scrfile\shell\open\command
- Pour désactiver le gestionnaire de tâches et l'éditeur de registre il ajoute les deux valeurs "DisableRegistryTools" = "1" et "DisableTaskMgr" = "1" aux clés [/i]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System[/i] et HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Policies\System
- Afin d'empêcher la correction du problème par l'ajout ou la modification de clés à la BDR il bloque l'usage des fichiers .reg et .key en ajoutant "(Default)" = "GDC" ou clés HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command et HKEY_LOCAL_MACHINE\SOFTWARE\Classes\keyfile\shell\open\command
- Il crée aussi HKEY_LOCAL_MACHINE\SOFTWARE\GedzacLABS\Bardiel.d et HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\GEDZAC LABS et s'enregistre comme un service sous le nom "GEDZAC LABS"
- Il modifie l'autoexec.bat (@win %System%\[nom aléatoire du fichier]), le win.ini (run=%System%\[nom aléatoire du fichier]) et le system.ini (shell=Explorer.exe %System%\[nom aléatoire du fichier])
Action :
- Essaye d'arrêter de très nombreuses applications de sécurité
- Crée un script et l'ajoute à Mirc.ini pour que le virus puisse être envoyé par commandes DCC
- Peut télécharger et exécuter un fichier à partir d'un site web
/!\ Bagz /!\ W32.Bagz.D@mm (Symantec), W32/Bagz.d@MM (Mac Afee) et WORM_BAGZ.C (Trend)
Propagation : Mail en anglais différents sujets (ASAP, please responce, Read this, urgent, toxic, contract, Money, office, Have a nice day, Hello, Russian's, Amirecans, attachments, attach, waiting, best regards, Administrator, Warning, text, Vasia, re: Andrey, re: please, re: order, Allert!, Att), corps de message assez long en anglais (soit pour demander si vous avez reçu le précédent fichier, soit pour vous dire que votre mail avait un virus ou a été reconnu comme du spam........) et fichier attaché avec les noms suivants (backup, admin, archivator, about, readme, help, photos, payment, archives, manual, inbox, docs, outbox, save, rar, zip, ataches, documentation) et une extension .zip ou .doc(beaucoup d'espaces).exe
Symptômes :
- Crée les fichiers suivants %System%\rpc32.exe, %System%\run32.exe et %System%\sysboot.doc (bcp d'espaces) .exe
- Se déclare en tant que service RPC32 avec les caractéristiques suivantes : "Nom: Network Explorer", "Chemin: %System%\rpc32.exe", "Description: Démarre et configure les outils d'accessibilité à partir d'une fenêtre" et "Type de Démarrage: Automatique"
- Toujours dans le répertoire %System% il crée des copies de lui-même avec les noms de fichiers attachés donnés ci-dessus lui servant à s'envoyer par mail
Action :
- ajoute une liste de site au fichiers Hosts afin d'en bloquer l'accès (ad.doubleclick.net, ad.fastclick.net, ads.fastclick.net, ar.atwola.com, atdmt.com, avp.ch, avp.com, avp.ru, awaps.net, banner.fastclick.net, banners.fastclick.net, ca.com, click.atdmt.com, clicks.atdmt.com, dispatch.mcafee.com, download.mcafee.com, download.microsoft.com,, downloads.microsoft.com, engine.awaps.net, f-secure.com, fastclick.net, ftp.f-secure.com, ftp.sophos.com, go.microsoft.com, liveupdate.symantec.com, mast.mcafee.com, mcafee.com, media.fastclick.net, msdn.microsoft.com, my-etrust.com, nai.com, networkassociates.com, office.microsoft.com, phx.corporate-ir.net, secure.nai.com, securityresponse.symantec.com, service1.symantec.com, sophos.com, spd.atdmt.com, support.microsoft.com, symantec.com, vupdate.symantec.com, updates.symantec.com, us.mcafee.com, vil.nai.com, viruslist.ru, windowsupdate.microsoft.com, www.avp.ch, www.avp.com, www.avp.ru, www.awaps.net, www.ca.com, www.f-secure.com, www.fastclick.net, www.kaspersky.ru, www.mcafee.com, www.my-etrust.com, www.nai.com, www.networkassociates.com, www.sophos.com, www.symantec.com, www.trendmicro.com, www.viruslist.ru, www3.ca.com
- Efface un très grand nombre de processus et de valeurs de registre concernant des applications antivirus et de sécurité (firewall)
/!\ Bacros le destructeur venu du nord /!\ Bacros.A (F-Secure), W32/Bacros-A et WM97/Bacros-A (Sophos) et W32.Bacros (Symantec)
Propagation : par disquette et CD (comme dans le bon vieux temps)
Symptômes :
- Il se copie en %WinSysDir%\mssys.exe, %WinSysDir%\msdosdrv.exe et
%WinSysDir%\sys.exe (le dernier avec l'attribut fichier caché)
- Il se place dans les clés de la base de registre suivantes afin de démarrer avec windows
"MSSys" = "%WinSysDir%\mssys.exe -d" dans HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"MSDosdrv" = "%WinSysDir%\msdosdrv.exe -t" dans HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Action : plein d'actions différentes selon la date (quand il se lance avec l'option "-d" )
- Dès son exécution il affiche un fichier texte avec le bloc-note
- L'exécution de "%WinSysDir%\msdosdrv.exe -t" crée un document word infecté par WM97/Bacros-A, WordInfo.doc dans le répertoire des documents de l'utilisateur (souvent Mes Documents par défaut) et dans le répertoire de windows
- Le Macro Virus essaye de copier C:\Windows\System\sys.exe à la racine du lecteur A: comme ReadMy.exe
- Si on est le 1er jour du mois, le virus remplace toutes les images au format .gif qu'il trouve sur les disques durs locaux du pc par une petite image .gif avec écrit "Kuole Jehova" qui signifie "Meurt Jehova" en finois
- Si on est le 2 du mois, le virus fait une recherche sur les disques durs locaux du pc et crée une copie de lui même (en .exe) avec le nom de tous les fichiers .txt qu'il trouve. (nb: l'icône de ces copies du virus ressemble à celle du bloc-note)
- Le 6 du mois, le Macro Virus tape le texte "I Madman" et met comme auteru du fichier "Ancient"
- Les 10, 20 et 30 du mois le virus essaye d'ouvrir le fichier word infecté Wordinfo.doc afin de lancer le Macro Virus qui se répliquera à l'ouverture et à la fermeture des documents de l'utilisateur du pc. Ce Macro Virus réside dans un Macro appelée NewBacros, il infecte bien sûr le Normal.dot et se copie dans Normal.doc dans le répertoire Template de Word
- Le 6 Décembre, jour de la fête d'indépendance de la Finlande, le virus modifie le fond d'écran du pc en mettant un petit drapeau finlandais à la place
- Le 25 Décembre le virus effacera l'ensemble des fichiers présent sur tous les disques durs locaux
- Tous les autres jours il essaiera de se copier sur les CD-ROM disponibles dans le lecteur (pour cela il faut que le pc soit équipé d'un logiciel de Packet Writing bien entendu). Il se copiera alors sous le nom ReadMy.exe et écrira un Autorun.inf pour se lancer dès l'insertion du cd sur un autre pc (ou modifiera l'autorun.inf existant)
/!\ Nouvelle version de Mydoom /!\ W32.Mydoom.AF@mm (Symantec), W32/Mydoom.ae@MM (Mac Afee), I-Worm.Mydoom.aa (Kaspersky), Win32.Mydoom.AD (Computer Associates) et WORM_MYDOOM.AA (Trend)
Propagation : Par mail en anglais avec sujet (Announcement, Details, Document, Fw:Document, Fw:Important, Fw:Information, Fw:Notification, Fw:Warning, Important, Information, Notification, Re:Details, Re:Document, Re:Important, Re:Information, Re:Notification, Re:Warning, Warning, readnow!) , message ([sssssi]Check the attached)document., Daily Report., Details are in the attached document., Important Information., Kill the writer of this document!, Monthly news report., Please answer quickly!., Please confirm!., Please read the attached file!., Please see the attached file for details, Please see the attached file for details., Reply, See the attached file for details, Waiting for a Response. Please read the attachment., here is the document., your document.[/i]) suivi de +++ Attachment: No Virus found avec une pseudo confirmation d'éditeurs d'antivirus connus (+++ Bitdefender AntiVirus - www.bitdefender.com, +++ F-Secure AntiVirus - www.f-secure.com, +++ Kaspersky AntiVirus - www.kaspersky.com, +++ MC-Afee AntiVirus - www.mcafee.com, +++ MessageLabs AntiVirus - www.messagelabs.com, +++ Norman AntiVirus - www.norman.com, +++ Norton AntiVirus - www.symantec.com, +++ Panda AntiVirus - www.pandasoftware.com) et fichier attaché (archive.doc, attachment.doc, check.doc, data.doc, document.doc, error.doc, file.doc, information.doc, letter.doc, list.doc, message.doc, msg.doc, news.doc, note.doc, notes.doc, report.doc, text.doc avec une deuxième extension .cpl .pif .scr)
Symptômes :
- Lors de l'exécution du virus, le bloc note s'ouvre et est rempli de cararctères "bizarres"
- Se copie en tant que avpr.exe dans le répertoire Système
- Ajoute la valeur "Avpr" = "%System%\avpr.exe" à la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run pour se lancer automatiquement avec Windows
- Crée aussi le fichier TCP5424.dll dans le répertoire Système (responsable de l'ouverture d'une backdoor sur les ports TCP 5424, 5425, et 5426)
- Modifie la valeur "(Default)"="%System%\TCP5424.dll" dans la clé de registre HKEY_CLASSES_ROOT\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 pour qu'explorer.exe charge la dll
- Crée le fichier %System%\msg15.txt qui contient le message
Citation :
Lucky's Av's ;P~. Sasser author gets IT security job and we will work with Mydoom , P2P worms and exploit codes .Also we will attack f-ecure,symantec,trendmicro,mcafee , etc. The 11th of march is the skynet day lol . When the beagle and mydoom loose, we wanna stop our activity <== so Where is the Skynet now? lol. This Will Drop W32.Scran P2P Worm
|
Action :
- Crée les clés suivantes afin de se dire à lui-même que le virus a déja tourné sur ce pc HKLM\Software\Microsoft\Windows\DdInfect et HKCU\Software\Microsoft\Windows\DdInfect
- Cherche et efface les valeurs ICQ Net et MsnMsgr de la clé HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- Modifie le fichier [i]%System%\drivers\etc\hosts pour empêcher l'accès à de nombreux sites de sécurité : avp.com, ca.com, customer.symantec.com, dispatch.mcafee.com, download.mcafee.com, f-secure.com, kaspersky.com, liveupdate.symantec.com, liveupdate.symantecliveupdate.com, mast.mcafee.com, mcafee.com, my-etrust.com, nai.com, networkassociates.com, rads.mcafee.com, secure.nai.com, securityresponse.symantec.com, sophos.com, symantec.com, trendmicro.com, update.symantec.com, updates.symantec.com, us.mcafee.com, viruslist.com, viruslist.com, www.avp.com, www.ca.com, www.f-secure.com, www.kaspersky.com, www.mcafee.com, www.my-etrust.com, www.nai.com, www.networkassociates.com, www.pandasoftware.com, www.sophos.com, www.symantec.com, www.trendmicro.com, www.viruslist.com
- Essaye de télécharger un fichier d'une URL du domaine freewebs, le sauve sous c:\Scran.exe et l'exécute. (virus P2P détecté sous le nom W32.Narcs (Symantec), W32/Scran.worm (Mac Afee), Worm.P2P.Scranor.a (Kaspersky) ou Win32.Scranor.A (Computer Associates)
/!\ Nouvelle version de Netsky /!\ W32.Netsky.AD@mm (Symantec), W32/Netsky.ag@MM (Mac Afee), WORM_NETSKY.AF (Trend), W32/Netsky-AD (Sophos) et Win32.Netsky.AE (Computer Associates)
Propagation :
- Par mail avec sujet, message et fichier attaché (.pif .com .scr .bat .zip) en portugais
- Par copie sous différents noms de fichiers .scr dans les répertoires contenant les mots "Share" ou "Sharing", donc aussi bien les répertoires partagés sous réseau local que P2P
Symptômes :
- Affiche une boite d'erreur avec le message "File Corrupted replace this!!"
- Se copie en tant que Msnmsgrs.exe dans le répertoire de Windows
- Toujours dans %Windir% il se copie sous tous les noms suivants : Agradou.zip agua!.zip AIDS!.zip aqui.zip banco!.zip bingos!.zip botao.zip brasil!.zip carros!.zip circular.zip contas!!.zip criancas!.zip diga.zip dinheiro!!.zip docs.zip email.zip festa!!.zip flipe.zip grana!!.zip grana.zip imposto.zip impressao!!.zip jogo!.zip lantrocidade.zip LINUSTOR.zip loterias.zip lulao!.zip massas!.zip missao.zip revista.zip robos!.zip sampa!!.zip sorteado!!.zip tetas.zip vaca.zip vadias!.zip vips!.zip voce.zip war3!.zip Zerado.zip
- Ajoute la valeur "MsnMsgr" = "%Windir%\MsnMsgrs.exe -alev" à la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run pour se lancer automatiquement avec Windows
Action : il essaye d'effacer les clés de registre suivantes (pouvant appartenir à certains virus connus) Citation :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KasperskyAv
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\system.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
|
/!\ Détection pour les .grp malformés (cf bulletin MS04-037) /!\ Bloodhound.exploit.15 (Symantec) Citation :
Bloodhound.Exploit.15 is a heuristic detection for malformed GRP files that are potentially related to the Program Group Converter Vulnerability, which is described in Microsoft Security Bulletin MS04-037.
The files that are detected as Bloodhound.Exploit.15 may be malicious, or they may be the result of corruption. We suggest that you submit to Symantec Security Response any files that are detected as Bloodhound.Exploit.15
|
/!\ Virus Funner pour MSN /!\
Alerte Secunia , W32.Funner (Symantec), W32/Funner.worm (Mac Afee), WORM_FUNNER.A (Trend) , Win32.Funner.A (Computer Associates) et W32/Funner-A (Sophos)
Symptômes : Une fois exécuté il se copie en tant que
- %System%\IEXPLORE.EXE
- %System%\EXPLORE.EXE
- %Windir%\rundll32.exe sous 98 et ME cela écrase la vraie version du fichier windows !!
- %System%\userinit32.exe
- c:\funny.exe
et s'inscrit dans le registre de la manière suivante :
- Ajoute la valeur "MMSystem"="%Windir%\rundll32.exe "%System%\mmsystem.dll"", RunDll32" à certaines des clés suivantes HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run pour que rundll32.exe démarre aussi avec Windows.
- Sous 2000 et XP il ajoute la valeur "Userinit"="userinit32.exe," à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon pour que userinit32.exe se lance avec Windows.
- Sous 98 et ME il modifie la section [boot] du fichier SYSTEM.INI comme suit Shell = %System%\explorer.exe
Action : Il modifie le fichier host de manière à rediriger de très nombreux sites (plus de 900 !!!) vers une adresse IP pré-déterminée. Il peut aussi télécharger des composants à partir d'une adresse web
Propagation : Il essaye de s'envoyer par utilisation de MSN Messenger donc :
- Il vérifie la présence du Messenger et du fichier MSVBVM60.DLL, composant de Microsoft Visual Basic
- Il crée un fichier log dans le répertoire système de Windows %System%\bsfirst2.log
- Il essaye de propager c:\funny.exe aux personnes de la liste de contact MSN, en envoyant des séquences de touches et en activant des boutons dans la fenêtre du Messenger
/!\ Petit trojan utile (pour une fois) /!\
Trojan.AdRmove (Symantec)
Ce trojan fouille sur le pc pour trouver et éliminer des fichiers et entrées de base de registre d'Adaware et spyware connus. Pas mal comme idée 
/!\ Quand Mydoom se politise  /!\
W32.Mydoom.AC@mm (Symantec)
Nouvelle version de Mydoom qui niveau technique n'apporte rien de nouveau (le fichier mis sur le pc s'appelle Winhook32.exe et se lance au démarrage par la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices , il s'auto-envoi par mail ou se loge sous de faux noms dans les répertoires de partage P2P).
Le "problème" de cette version est qu'elle est négationniste. Voila les sujets, texte et fichiers attaché du mail :
- Sujet : "Holohoax information", "Hackers for Historical Truth", "Free Ernst Zundel, The holocaust is a lie", "Information about Holocaust", "The Germar Rudolf Report", "Hello, here is your information!" ou "Jewish Holocaust, another lie"
- Corps du message : "'Courage', the ability to recognizr an iniquitous thing and take action against it: www.???.org", "Ten thousand museums, ten thousand 'survivor' eyewitness testimonies, ten thousand TV documentaries, ten thousand Hollywood movies and ten thousand newspaper and magazine articles would not make a lie a truth. See www.???.com", "If you are interested in the truth regarding the so-called Holocaust please see www.???.org" ou "The Holocaust is an outright lie. Please see www.???.org for much more. The truth deserves to be known."
N.B.: j'ai viré les adresses web des sujets pour ne pas donner libre tribune ici 
- Fichier attaché : body, trusth, holohoax-report, data, file, text, document, info, report avec comme extensions possibles .bat, .cmd, .exe, .scr, .pif
Voila donc un virus qui donne la nausée 
/!\ Exploitation de la faille MS04-028 (JPEG/GDI+) /!\
Tout d'abord un petit mot pour dire que les éditeurs antivirus ont tous réagi pour protéger leurs utilisateurs de cette faille en créant une détection des jpeg malicieux (chacun à sa vitesse  )
- Antivir 23.09.2004 17:51 "TR/Exploit.MS04-28 (exact)"
- Bitdefender 24.09.2004 14:21 "Exploit.Win32.MS04-028.Gen"
- Dr. Web 21.09.2004 10:51 "Exploit.MS04-028"
- eTrust (CA Engine) 22.09.2004 22:23 "JPEG.MS04-028.Exploit.Trojan"
- eTrust (VET Engine) 23.09.2004 06:38 partly detected as "JPEG.MS04-028.exploit"
- eTrust (VET Engine) 24.09.2004 06:40 fully detected as "JPEG.MS04-028.exploit"
- F-Secure 20.09.2004 08:46 "Exploit.Win32.MS04-028.gen"
- Kaspersky 23.09.2004 12:56 "Exploit.Win32.MS04-028.gen"
- McAfee 16.09.2004 23:20 "Exploit-MS04-028" and "Exploit-MS04-028.demo"
- Panda 24.09.2004 13:30 partly detected as "Exploit/MS04-028"
- Symantec 16.09.2004 03:38 partly detected as "Bloodhound.Exploit.13"
- Symantec 18.09.2004 03:42 fully detected as "Bloodhound.Exploit.13" and "Download.Trojan"
- Trend Micro 18.09.2004 06:10 "Exploit-MS04-028"
copyright : http://www.heise.de/newsticker/meldung/51459 (en allemand)
je rajoute Exp/MS04-028 pour Sophos
Bonne idée de la part des éditeurs d'antivirus car on entend dire (sur les newsletters) que le patch microsoft n'est pas complet pour toutes les formes de jpeg malicieux. Il semble qu'il existe aussi une autre faille GDI mais qu'elle ne permette que de crasher un ordi, pas plus (mais méfiance....) Les éditeurs détectent aussi des "Kits" permettant la fabrication des ces jpeg mallicieux ( Hacktool.JPEGshell et Hacktool.JPEGDownload (Symantec) Troj/JpegBld-A (Sophos) HKTL-JPEGDEATH.A (Trend) )
Pour finir il faut savoir que Symantec détecte quatre trojans utilisant cette faille et permettant :
1/ d'exécuter des commandes (téléchargement et exécution programmes) sur le pc infecté Backdoor.Roxe , Trojan.Ducky et Trojan.Ducky.B
2/ d'exécuter un programme sur le pc infecté Trojan.Moo
/!\ Autres failles protégées par détection heuristique antivirus /!\
Juste un petit mot pour parler de l'utilité d'un antivirus pour des failles non encore patchée (voire ignorées )
1/ Mac Afee s'intéresse aussi aux spyware en emettant une protection pour les modifications apportées au fichier hosts QHosts-16
2/ Symantec vient de sortir une détection pour des images TIFF malicieuses Bloodhound.Exploit.14 sous XP Citation :
The vulnerability is reported to exist when Explorer.exe handles certain TIFF format images. It is related to the parsing of a circular linkage in the Image File Directory of the TIFF file header. If a Directory Entry pointer links back to the previous Entry, the parser will enter an infinite loop.
|
3/ En ce qui concerne la faille du Drag and Drop concernant Internet Explorer ( 5.5, 5.5 SP1, 5.5 SP2, 6 et 6 SP1 ) Microsoft Internet Explorer Implicit Drag and Drop File Installation Vulnerability (SecurityFocus) Microsoft Internet Explorer drag and drop object access / file exposure vulnerability (Computer Associates) certains éditeurs ont aussi mis en place une détection : JS/Exploit-DragDrop.b.gen (Mac Afee) et JS.Dragdrop.exploit (Computer Associates). Symantec annonce même un trojan qui utiliserait cette faille Backdoor.Sokeven
/!\ Un virus pour MSN /!\
W32.Snone.A (Symantec)
Pas très répandu mais intéressant pas sa méthode je trouve. Tout commence par un clic sur une url malicieuse. On accède alors à une page web qui utilise la faille MS04-013 pour exécuter un fichier .CHM
Le virus s'active en terminant ZoneAlarm et d'autres process (Ravmon, Eghost, Mailmon et Netbargp) puis il télécharge et exécute C:\SYShttp1.sys et C:\SYShttp2.sys
Le processus est lancé car cela met sur le pc les fichiers suivants :
- %System%\moniker.exe
- %System%\hktt.dll (un fichier légitime qui est utilisé pour intercepté les appels API)
- %Temp%\winX.tmp (une copie de hktt.dll, où X est un entier)
Le virus s'installe dans la clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run comme "realone_nt2003" = "%system%\moniker.exe" pour démarre avec Windows
Le principe du virus est alors le suivant : chaque fois qu'un message est envoyé par MSN il y rajoute le lien vers l'URL malicieuse
/!\ Un Bagle qui se répend rapidement /!\
W32.Beagle.AR@mm (Symantec) W32/Bagle.az@MM (Mac Afee) W32/Bagle-AZ (Sophos) WORM_BAGLE.AM (Trend) Win32.Bagle.AM (Computer Associates) Bagle.AS (Secuser) Bagle.AS (F-Secure)
Propagation :
- email anglais (sujets "Re:", "Re: Hello", "Re: Thank you!", "Re: Thanks " ou "Re: Hi" ; corps de texte avec juste "" ou ")" ; pièce jointe en .com, .cpl, .exe, or . scr avec nom de fichier "Price", "price" ou "Joke" )
- par P2P en se copiant dans les répertoire comportant la séquence "shar" sous des noms de fichiers connus comme "ACDSee 9.exe", "Adobe Photoshop 9 full.exe", "Ahead Nero 7.exe", "Kaspersky Antivirus 5.0" ou "Windown Longhorn Beta Leak.exe" ; ou alors des cracks tels "Microsoft Office XP working Crack, Keygen.exe" ou "Microsoft Windows XP, WinXP Crack, working Keygen.exe" ; ou encore des fichiers pornos "Porno Screensaver.scr", "Porno pics arhive, xxx.exe" ou "XXX hardcore images.exe".
Symptômes :
- il se copie sous le nom bawindo.exe dans le répertoire système de windows %System% et éventuellement sous les noms bawindo.exeopen, bawindo.exeopen ou bawindo.exeopen
- pour se lancer à chaque démarrage il ajoute la clé suivante à la BDR HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bawindo = "%System%\bawindo.exe"
- il arrête les processus suivants (antivirus, sécurité ou autres virus) : alogserv.exe, APVXDWIN.EXE, ATUPDATER.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, Avconsol.exe, AVENGINE.EXE, AVPUPD.EXE, Avsynmgr.exe, AVWUPD32.EXE, AVXQUAR.EXE, blackd.exe, ccApp.exe, ccEvtMgr.exe, ccProxy.exe, ccPxySvc.exe, CFIAUDIT.EXE, DefWatch.exe, DRWEBUPW.EXE, ESCANH95.EXE, ESCANHNT.EXE, FIREWALL.EXE, FrameworkService.exe, ICSSUPPNT.EXE, ICSUPP95.EXE, LUALL.EXE, LUCOMS~1.EXE, mcagent.exe, mcshield.exe, MCUPDATE.EXE, mcvsescn.exe, mcvsrte.exe, mcvsshld.exe, navapsvc.exe, navapw32.exe, NISUM.EXE, nopdb.exe, NPROTECT.EXE, NUPGRADE.EXE, OUTPOST.EXE, PavFires.exe, pavProxy.exe, pavsrv50.exe, Rtvscan.exe, RuLaunch.exe, SAVScan.exe, SHSTAT.EXE, SNDSrvc.exe, symlcsvc.exe, UPDATE.EXE, UpdaterUI.exe, Vshwin32.exe, VsStat.exe, VsTskMgr.exe[i]
- il essaye aussi d'arrêter et de désactiver Internet Connection Firewall (ICF) et Internet Connection Sharing (ICS) service (the "SharedAccess" service) sous Windows XP
Actions :
- il efface toutes les valeurs contenant les séquences suivantes : [i]9XHtProtect, Antivirus, EasyAV, FirewallSvr, HtProtect, ICQ Net,, ICQNet, Jammer2nd, KasperskyAVEng, MsInfo, My AV, NetDy, Norton Antivirus AV, PandaAVEngine, SkynetsRevenge, Special Firewall Service, SysMonXP, Tiny AV, Zone Labs Client Ex, service des clés HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- il essaye de télécharger un fichier (exe ou jpg selon les éditeurs antivirus ) sur 146 url prédéfinies (mais actuellement aucune n'est accessible)
- ouvre une backdoor sur le port 81 en UDP et TCP qui peut servir de relais mail
- comme tout les virus il crée un "Mutex" qui évite au virus de tourner en plusieurs exemplaire sur le même pc. dans la liste des "Mutex" il y a les noms suivants : "MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D", "'D'r'o'p'p'e'd'S'k'y'N'e't'", "_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_", "[SkyNet.cz]SystemsMutex", "AdmSkynetJklS003", "____--->>>>U<<<<--____" et "_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_" probablement pour empêcher d'autres virus (comme Netsky) de tourner en même temps que lui
/!\ Mydoom, ça continue  /!\
W32.Mydoom.AB@mm (Symantec) W32/Mydoom.ab@MM (Mac Afee) Win32/Mydoom-Z (Sophos)
Propagation :
- email anglais (sujets "normaux", "Re:" ou "FW:" ; corps de texte avec citation éditeur antivirus ; pièce jointe en .cpl .exe .zip ou .jpg(plein d'espaces).pif)
- par P2P en se copiant dans le répertoire partagé de KaZaA
- par ICQ en envoyant un mail aux contacts du pc infecté
Symptômes :
- il se copie sous le nom services.exe dans le répertoire de windows %Windir%
- il modifie un très grand nombre de clé de la BDR en HKLM et HKCU pour se lancer au démarrage en tant que service directement dans les clés NetBios et il change beaucoup de paramètres de configuration pour la navigation par Internet Explorer (supprime les proxy, modifie le lieu du cache et la taille de celui-ci afin d'essayer de bloquer la navigation)
- il arrête et bloque le lancement d'un très grand nombre d'applications de sécurité (antivirus, anti-spyware, firewall, BDR.......)
- d'après Sophos il modifie une clé du registre pour que le firewall l'autorise à sortir (je suppose que c'est pour le Firewall de XP SP2 car la clé est HKLM\System\CurrentControlSet???\Services\SharedAccress\DomainProfile\AuthorizedApplications\LIst)
Action :télécharge Backdoor.nemog.d (Symantec) BackDoor-CEB.e (Mac Afee) W32/Surila-C (Sophos) qui attend des infos par ICQ et qui modifie le fichier %System%\drivers\etc\hosts pour bloquer l'accès aux sites d'antivirus.
/!\ Variantes intéressante de Sdbot /!\
Worm_sdbot.uh (Trend) Article K-Otik 14/09/2004
Propagation :par exploitation des failles MS02-061, MS03-007, MS03-026 et MS04-011 puis dans le réseau local grace à des fonctions NetBEUI pour trouver des logins et mot des passes, il se copie dans le répertoire système et cherche à se propager dans le réseau en utilisant sa propre liste de users + mots de passe.
Symptômes :la présence des clés "Microsoft Time Manager" dans HKLM...RUN RUNSERVICES OLEavec comme valeur "dveldr.exe"
Actions :keylogging, backdoor, TFTP serveur qui essaye d'envoyer le virus sous le nom Bling.exe.
En fait le ver essaye de se connecter au serveur irc.t3musso.net pour attendre la liste suivante de commande : * Update malware from HTTP and FTP URL * Steal CD keys of games * Execute a file * Download from HTTP and FTP URL * Open a command shell * Open files * Display the driver list * Get screen capture * Capture pictures and video clips * Display netinfo * Make a bot join a channel * Stop and start a thread * List all running process * Rename a file * Generate a random nickname * Perform different kinds of distributed denial of service (DDoS) attacks * Retrieve and clear log files * Terminate the bot * Disconnect the bot from IRC * Send a message to the IRC server * Let the bot perform mode change * Change BOT ID * Display connection type, local IP address, and other net information * Log in and log out the user * Issue Ping attack on to a target computer * Display system information: o CPU speed o Amount of memory o Windows platform, build version and product ID o Malware uptime o User name
Il peut donc faire énormément de choses par le biais de ces commandes et tout connaitre sur le système infecté. Comme beaucoup de malwares actuels il récupère les CD-Keys de plusieurs jeux.
La nouveauté c'est Citation :
This worm uses carnivore network sniffer and checks for the following strings:
* : auth * : login * :!auth * :!hashin * :!login * :!secure * :!syn * :$auth * :$hashin * :$login * :$syn * :%auth * :%hashin * :%login * :%syn * :&auth * :&login * :*auth * :*login * :,auth * :,login * :.auth * :.hashin * :.login * :.secure * :.syn * auth * login * :?auth * :?login * :@auth * :@login * :\auth * :\login * :~auth * :~login * :+auth * :+login * :=auth * :=login * :'auth * :-auth * :'login * :-login * login * login * paypal * PAYPAL * paypal.com * PAYPAL.COM
|
il peut donc récupérer mots de passe non cryptés et informations de login.
/!\ Deux variantes de W32.Spybot /!\
W32.SPybot.DNB et W32.SPybot.DNC (Symantec)
Propagation :
- pour le .dnb : il exploite les failles MS04-011 et MS01-059
- pour le .dnc : il exploite les failles MS03-026 (TCP port 135), MS04-011, MS02-061 (UDP port 1434),MS03-007 (TCP port 80), MS01-059, MS03-049 (TCP port 445) et les partages réseau.
Symptômes :
- .dnb: se copie en tant que %System%\HPPrint.exe
- .dnc: se copie en tant que %System%\TimeSRV.exe
- ils s'installent dans les clés RUN de la bdr pour se lancer au démarrage
Action :
- .dnb: efface les partages ($ipc $admin $c $d). Ouvre une backdoor vers un canal IRC dans le domaine latina.a.la (TCP port 6667) et attend les commandes suivantes : Download and execute files, Scan the network for servers running back door Trojan horses, List, stop, and start processes, Launch Denial of Service (DoS) attacks, Steal system information and send it to the attacker, Perform port redirection, Start a socks 4 or socks 5 proxy. Vole les mots de passe et les CD keys de nombreux jeux, ainsi que les identifiants Windows, MSN, Yahoo Messenger et AIM.
- .dnc: ouvre une backdoor vers un canal IRC (TCP port 6667) et attend les commandes suivantes : Download and execute files, Scan the network for servers running back door Trojan horses, List, stop, and start processes, Launch Denial of Service (DoS) attacks, Steal system information and send it to the attacker, Log keystrokes and saves them to a file in the %System% folder, Open a backdoor port, Delete, create, and list files, Perform port redirection, Flush local DNS cache, Start a socks proxy. Vole les mots de passe et les CD keys de nombreux jeux.
/!\ Mydoom encore une autre /!\
W32.Mydoom.V@mm (Symantec) Win32.Mydoom.Y (Computer Associates) W32/Mydoom.w@MM (Mac Afee) W32/MyDoom-W (Sophos)
Propagation : par mail en anglais. Le sujet contient "FW:" et donc le corps du message contient un soit-disant "original message". Le fichier attaché est axé vers des photos avec comme extension .exe .exe.safe ou .zip (contenant un fichier .jpg.pif). Comme pour les autres versions le mail cite des éditeurs d'antivirus connus.
Symptômes :
- Se copie dans le répertoire %System% sous le nom win32s.exe et dans %Userprofile%\Start Menu\Programs\Startup\ sous le nom autorun.exe
- S'installe dans la BDR pour se lancer à chaque démarrage du pc.
Action :
- Il télécharge sauvegarde et exécute un fichier à partir des sites suivants : masteratwork.com, professionals-active.com, il-legno.it, 64.40.98.94, 69.93.58.116, mercyships.de un des fichiers suivants.
- Backdoor.Nemog.c (Symantec) qui s'installe sur le pc sous le nom dx32cxlp.exe et .sys dans le répertoire %System et se lance comme service sur Local Machine. Il sert de relais smtp et de proxy http sous des numéros de ports TCP aléatoires. Il attend des commandes de son créateur : se désinstaller, se mettre à jour ou télécharger un fichier. Il modifie le fichier hosts ( %System%\DRIVERS\ETC\HOSTS ) afin de bloquer la connexion sur un grand nombre de sites d'éditeurs (infos virus et téléchargement de mises à jour): avp, viruslist, kaspersky, network associates, mac afee, f-secure, sophos, computer associates, symantec, e-trust, nai et trendmicro
- W32.Sykel renommé en W32.Multex.B (Symantec) qui se propage en exploitant la faille MS04-011 LSASS (la même que pour Sasser) et ensuite par le réseau partagé de KaZaA et d'ICQ sous des noms d'exe connus (ex : Winzip 9.0.exe, trillian-v2.74h.exe) ou d'économiseurs d'écran (*.scr) . Il s'installe sur le pc et se lance au démarrage sous le nom iexp1orer.exe . Puis il envoie un message avec un lien à tous les contacts ICQ présents sur le pc infecté ; les liens provoquant le téléchargement de W32.Mydoom.V ou de backdoor.nemog.c
- le nom donné par Sophos est W32/Surila-B qui semble être un mix des deux précédents annoncés par Symantec
Information additionnelle : Citation :
If the worm is run after 01:18:31 (1:18 AM and 31 seconds) 17 Septemeber 2004, it creates a batch file: %System%\win32skill.bat
If run, this batch file continually tries to delete the worm, as well as the batch file itself. The worm will cease to spread after this time.
|
d'après Computer Associates
/!\ Mydoom et une de plus /!\
W32.Mydoom.U@mm (Symantec) W32/Mydoom.r@MM (Mac Afee) Win32.Mydoom.X (Computer Associates)
pour les descriptions c'est un peu toujours le même topo
/!\ Encore deux variantes de Mydoom /!\
W32.Mydoom.T@mm et W32.Mydoom.T@mm (mutex différent) (Symantec) W32/Mydoom.u@MM et W32/Mydoom.v@MM (Mac Afee) W32/MyDoom-U et W32/MyDoom-V (Sophos)I-Worm.Mydoom.t (Kaspersky) Worm_Mydoom.P (Trend) Win32.Mydoom.U , Win32.Mydoom.V et Win32.Mydoom.W (Computer Associates) MyDoom.T (F-Secure)
Propagation : par mail avec
- Sujet en anglais : You win!, thanks!, Thank you!, read it immediately, Re: Your document, Re: Status, Re: Question, Re: Proof of concept, Re: Message, Re: Hi, Re: Hello, Private document, Notice again, News, Information, important, Hi!, here, hello
- Corps de message en anglais aussi (par exemple) : screensaverlol!, fun photos, New game, relax, Virus removal tool, You are infected by virus. Run this exe, apply this patch!, apply patch., game, fun game!, fun!, lol!, See the file., See attached file for details., Please read the important document., Please read the attached file., Please confirm the document. Avec le nom d'un éditeur connu : Norton AntiVirus - www.symantec.de, F-Secure AntiVirus - www.f-secure.com, Norman AntiVirus - www.norman.com, Panda AntiVirus - www.pandasoftware.com, Kaspersky AntiVirus - www.kaspersky.com, MC-Afee AntiVirus - www.mcafee.com, Bitdefender AntiVirus - www.bitdefender.com, MessageLabs AntiVirus - www.messagelabs.com
- Fichier attaché : un fichier .zip qui contient un fichier .pif
Symptômes :
- Se copie dans le répertoire %System% sous le nom winspf32.exe ou windr32.exe et dans %Userprofile%\Start Menu\Programs\Startup\ sous le nom autostart.exe ou rx32hh00.exe
- S'installe dans la BDR sous clé RUN et comme User Agent de IE
Action :
- Il télécharge le trojan Backdoor.Nemog.B (Symantec) , BackDoor-CEB.c (Mac Afee) ou W32/Surila-A (Sophos)qui s'installe sur le pc sous le nom dx32cxlp.exe et .sys dans le répertoire %System et se lance comme service sur Local Machine
- Il essaye de contacter une liste de serveur icq pour attendre des commandes : se désinstaller, se mettre à jour ou télécharger un fichier
- Il agit comme relais SMTP et comme proxy http sous des numéros de ports TCP aléatoires
- Il modifie le fichier hosts ( %System%\DRIVERS\ETC\HOSTS )afin de bloquer la connexion sur un grand nombre de sites d'éditeurs (infos virus et téléchargement de mises à jour): avp, viruslist, kaspersky, network associates, mac afee, f-secure, sophos, computer associates, symantec, e-trust, nai et trendmicro
/!\ ALERTE IMPORTANTE /!\
W32.Blackmal.C@mm (Symantec) Win32.Blackmal.C (Computer Associates) W32/Nyxem-C (Sophos) W32/Mywife.c@mm (Mac Afee) Worm_Blueworm.F (Trend)
Propagation :
- Il s'auto envoie aux adresses qu'il trouve dans Outlook, MSN Messenger et Yahoo Pager
- Le sujet est en anglais (For all, Hello, Please reactive now, Thanks, Update, Thank you, please reactive, Ohhh, hi, For You, Free Pic's Video, none, [none], help me, you, Please Read, Important ou Reactive now)
- Pour l'activer il faut cliquer sur la pièce jointe (un .bat seul ou inclus dans un fichier compressé [.zip .z .gz ou .tgz] avec parfois d'autres fichiers non dangereux [image pornographique]).
Symptômes :
- Lors de son exécution il ouvre Windows Media Player sans lancer de vidéo dedans
- Ensuite génère un grand nombre de copies de lui-même dans les répertoires %SystemRoot%, %SystemRoot%\System|System32 et %Program Files%\Internet Explorer
- Il crée plusieurs clés de registre [Run bien sûr mais aussi HCKU\Identities HCKU\Software HCKU\.chm HKLM\System et Software] et il s'enregistre même comme librairie pour Microsoft Visual Basic.
Action :
- Il désactive pas mal de logiciels du démarrage de Windows (clés Run)
Citation :
_Hazafibb, au.exe, ccApp, defwatch, Explorer, erthgdr, gigabit.exe, JavaVM, KasperskyAv, key, MCUpdateExe, MCAgentExe, McRegW, McVsRte, McAfeeVirusScanService, msgsvr32, NPROTECT, NAV Agent, Norton Antivirus AV, OLE, PCClient.exe, PCCIOMON.exe, pccguide.exe, PccPfw, PCCClient.exe, rtvscn95, reg_key, ScriptBlocking, SSDPSRV, system., Sentry, ssate.exe, Services, tmproxy, Taskmon, Traybar, Task, VirusScan Online, VSOCheckTask, vptray, Windows Services Host, winupd.exe, Windows Update, win_upd.exe, winupdt, wersds.exe
|
- Il efface les fichiers suivant du pc !!! (d'après Symantec)
Citation :
C:\Program Files\Norton AntiVirus\*.exe C:\Program Files\McAfee\McAfee VirusScan\Vso\*.* C:\Program Files\McAfee\McAfee VirusScan\Vso C:\Program Files\McAfee\McAfee VirusScan\Vs C:\Program Files\Trend Micro\PC-cillin 2002\*.exe C:\Program Files\Trend Micro\PC-cillin 2003\*.exe C:\Program Files\Trend Micro\Internet Security\*.exe C:\Program Files\NavNT\*.exe C:\Program Files\HyperTechnologies\Deep Freeze\*.exe
|
/!\ Attention faux mail de Microsoft sur Sasser /!\
Worm_Turta.A (Trend) Citation :
From: support@microsoft.com
Subject: Sasser worm! Important information!\
Attachment: 841720.exe
Message body:
What You Should Know About the Sasser Worm and Its Variants
Published: May 1, 2004 | Updated: May 11, 2004 - 9:45 P.M. Pacific Time
a new virus, W32.Sasser.A and its variants, can infect your computer!
Microsoft teams have confirmed that the Sasser worm (W32.Sasser.A and its variants) is currently circulating on the Internet. Microsoft has verified that the worm exploits the Local Security Authority Subsystem Service (LSASS) issue that was addressed by the security update released on April 13 in conjunction with Microsoft Security Bulletin MS04-011.
System requirements Windows 95/98/Me/2000/NT/XP
This Update applies to MS Internet Explorer, version 5.5 and later
MS Outlook, version 8.0 and later
MS Outlook Express, version 4.01and later
Recommendation Customers should install the patch at the earliest opportunity
Install the Required Update Open the "Attached file: 841720.exe"
How to use You don't need to do anything after installing this item
Microsoft Product Support Services and Knowledge Base can be found on the Microsoft Technical Support Website.
For security-related information about Microsoft products, please visit
the Microsoft Security Advisor web site, or Contact Us.
|
Voila le texte du message reçu, soit disant envoyé par Microsoft (comme si ils envoyait les patchs mais bon y a toujours des gogos pour cliquer sur les pièces jointes). Le virus crée swchost.exe dans le répertoire système et le lance au démarrage en tant que prog mais aussi en tant que service, balance svohost.exe dans le répertoire système et crée { Shell = "explorer.exe %System%\svohost.exe" } dans la base de registre ou le system.ini selon la version de windows. Il se propage uniquement pas envoi massif de mail. Pas dangereux mais bon vu la forme du message je le met quand même
/!\ Nouvelle variante de Mydoom /!\
W32.Mydoom.R@mm (Symantec) Worm_Mydoom.T (Trend) W32.Mydoom.t@mm (Mac Afee) Mydoom.T (F-Secure) Win32.Mydoom.T (Computer Associates) W32/Mydoom-T (Sophos)
Propagation : crée un message avec différents noms d'expéditeurs venant des carnets d'adresses récupérés sur le pc, différents sujets et différents noms et extensions pour le fichier attaché (il utilise aussi l'icône du bloc-note afin d'inciter les gens à cliquer sur le fichier) ensuite il s'envoie aux contacts en passant par le smtp de l'utilisateur du pc. Il se recopie aussi dans les répertoires partagés de réseau P2P.
Seul F-Secure parle d'une possible attaques DDoS contre le site de Microsoft
/!\ Nouvelle Variante de Bugbear /!\
Bugbear.M (Symantec)
Alias : aucun pour le moment
Propagation : par son propre SMTP ou par P2P en se copiant dans les répertoires partagés des logiciels connus. Par ailleurs il envoie des informations à son auteur : Cookies, Contenu Presse-Papier, ce qui est tapé au clavier et le texte contenu dans les fenêtres ouvertes
Message édité par minipouss le 05-12-2004 à 15:23:45
|
FORUM HardWare.fr
) ). Et toujours la passer par l'antivirus (soit c'est automatique car votre Antivirus protège votre logiciel de messagerie, soit à la main) avantde l'exécuter. Et peut-être aussi penser à activer l'affichage complet des extensions des fichiers sous windows 
![[:zjk]](https://forum-images.hardware.fr/images/perso/zjk.gif "[:zjk]")
: on a dit pas de comparaison entre les differents softs (du type foxmail vs outlook, firefox vs ie, winamp vs foobar...)sur ce topic
). Solame utilisant le backdoor de mydoom. Mais y a peu d'info pour le moment sur ces deux là pour le moment.
![[:benou_grilled]](https://forum-images.hardware.fr/images/perso/benou_grilled.gif "[:benou_grilled]")
