Actualité libre de droit
- 2106 clics -

MyDoom : Encore un virus plutot dangereux pour les serveurs...

Si vous pensiez avoir tout vu en matière de virus, voici un nouveau virus qui s'amuse à créer de multiples zombies... Un nouveau virus depuis hier est entrain de se propager via Kazaa et les e-mails.


1/ Analyse de l'attaque

1.1/ Propagation

Le virus se propage donc via E-mail ou par le réseau FastTrack utilisé principalement par Kazaa.

1.1.1/ E-mail

L'E-mail contient un message d'erreur ainsi qu'un fichier attaché, qui n'est autre que le virus.

Le sujet de l'E-mail est un de ceux décrits dans la liste ci-dessous :



test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
[random collection of characters]



Le corps de l'E-mail peut être l'un des textes suivants :



test

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

The message contains Unicode characters and has been sent
as a binary attachment.

Mail transaction failed. Partial message is available.



Le fichier attaché peut avoir un des noms qui suivent :



body
data
doc
document
file
message
readme
test
text
[random collection of characters]



Le fichier attaché peut avoir une des extensions suivantes :



pif
scr
exe
cmd
bat
zip



Le fichier est soit un EXEcutable soit un fichier ZIP.

1.1.2/ Kazaa

Via Kazaa le fichier peut avoir un des noms qui suivent :



winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004



Avec une des extensions qui suivent :



.bat
.exe
.scr
.pif



1.2/ Impact sur le système infecté

1.2.1/ Implantation dans le système

1.2.1.1/ Registre

Le virus va d'abord obliger taskmon.exe à se lancer lorsque que vous ouvrez votre compte...

Pour ça il va insérer une des deux clefs suivantes, dans le registre :



[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"TaskMon" = %sysdir%taskmon.exe
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"TaskMon" = %sysdir%taskmon.exe



Le virus va aussi obliger Explorer.exe à charger shimgapi.dll via cette clef :

[HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32]
"(Default)" = "%System%shimgapi.dll"

Il ajoutera aussi deux autre clefs pour assurer le chargement du dll dans :

[HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32]
[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32]

1.2.1.2/ Système de fichier

Le virus va d'abord se copier à la place de taskmon.exe (Le planificateur de tâche) et va ensuite forcer Windows à charger le DLL (Voir plus haut).

Il va ensuite mettre un .dll, shimgapi.dll, dans le dossier temporaire ou dans le dossier système et forcer son chargement via Explorer.exe qui sera ainsi le père du .dll.

Le virus crée aussi un fichier dans %Temp%/Message (%Temp% représentant votre dossier contenant les fichiers temporaires) qui est affiché dans Notepad.

1.2.1.3/ Applications

Il ouvrira %Temp%/Message qui contient du texte inidentifiable dans Notepad.exe

Il va ensuite lancer le cheval de troie, intégré dans le dll shimgapi.dll, qui ouvrira un serveur sur un port entre 3127 et 3198. Le serveur communique via TCP.

Il scannera aussi tout les fichiers ayant ces extensions :



pl
adb
tbb
dbx
asp
php
sht
htm
txt



Le scan sert à collecter un grand nombre d'e-mails. Le virus contient un interpréteur qui arrive à passer à travers des protections anti-spam simple (Protection d'E-mail en remplaçant @ et . par 'at' et 'dot')

1.3/ Impact sur le net

Une fois les adresses collectées, le virus envoie des e-mails avec le virus à toutes les adresses e-mail qu'il a collecté.

Le virus est aussi programmé pour lancer une attaque [1] DDoS sur le site www.sco.com entre le 1er et le 24 Février. Après cette date, la propagation et l'attaque s'arrêtera mais les machines infectées auront quand même un cheval de troie sur leurs machines qui continuera à tourner.

1.4/ Conception

1.4.1/ L'Executable en lui même

Le virus à été compressé via UPX et la plupart des symboles ont été renommés via une technique appelée rot13 (Technique consistant à faire une rotation de 13 places sur une lettre. Exemple :
A = N [BCDEF 5 GHIJK 10 LMN 13])

1.4.2/ Lancement

Au lancement, la partie cheval de troie du virus est mis dans un .dll (shimgapi.dll) qui se chargera uniquement de cette action. De plus le virus crée un mutex nommé SwebSipcSmtxSO, pour être sûr qu'il n'y a qu'une instance du virus qui tourne à la fois. (MUTual EXclusion object : Système permettant a de multiples threads d'un processus, d'effectuer la même action mais pas en simultanée. Ici cela permet au virus de ne tourner qu'une seule fois)

1.4.3/ Attaque sur SCO

L'attaque sur www.sco.com se fait en lançant chaque seconde une requête HTTP :


GET / HTTP/1.1


2/ Analyse des dégâts

2.1/ Impact sur le système

Une fois infecté, votre système pourra être contrôlé, soit dans le but de détruire ou d'infecter un peu plus votre système, soit pour attaquer une autre machine sur le net. Si la machine attaquée détecte l'attaque, elle croira que l'attaque vient de votre machine, ce qui sera le cas mais vous ne saurez au courant, qu'au moment où le propriétaire de la machine attaquée portera plainte contre vous.

2.2/ Impact sur le web

Ralentissement considérable des lignes et extinction de certains serveurs, engendré par la masse d'e-mails contenant le virus et circulant dans les lignes.

Il faut vous dire que 10.000 emails contenant un fichier de 32 ko génère un flux de 312,5 Mo (1 Mo = 1024 Ko).

Network Associates à reçu ±14.000 emails en une heure...

2.3/ Impatch sur SCO

Le site ne sera plus disponible durant l'attaque. Peut être qu'un serveur comme www1.sco.com sera utilisé en attendant que l'attaque s'arrête...

2.4/ But de virus

Ce virus a donc pour but de ralentir considérablement les lignes et de décribiliser le système d'exploitation GNU/Linux en faisant croire que le virus vient d'une personne militant pour Linux et l'OpenSource.

3/ Parades

3.1/ Fix automatiques

Plusieurs sociétés d'Antivirus ont proposés des "fix" pour enlever le virus de la machine.
Les liens sont donnés au dessous

3.2/ Retirer le virus manuellement

3.2.1/ Registre

Il est conseillé de désactiver la Restauration du Système si vous possédez Windows Me ou Windows XP.

Supprimez la valeur :

"Taskmon"="%System%taskmon.exe"

dans les clefs suivantes :



[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]



(Rappel : HKEY_LOCAL_MACHINE = HKLM. HKEY_CURRENT_USER = HKCU. HKEY_CLASSES_ROOT = HKCR . La casse n'est pas a respectée. Ainsi SOFTWARE = software = softWARE)


Supprimez les clefs suivantes :



[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]



Allez ensuite jusqu'à là clef [HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32] puis :



Si vous avez Windows NT/2K/XP :

Double cliquez sur Default
Modifiez la valeur en mettant ceci : %SystemRoot%System32webcheck.dll
Confirmez.

Si vous avez Windows 9x/ME

Double cliquez sur Default
Modifiez la valeur en mettant ceci : WindowsSystemwebcheck.dll
Confirmez.




3.2.2/ Système de fichier


Si vous avez Windows 9x/Me

Supprimez le fichier C:WindowsSystemtaskmon.exe
Supprimez le fichier C:WindowsSystemshimgapi.dll

Si vous avez Windows NT/2K

Supprimez le fichier C:WinntSystem32taskmon.exe
Supprimez le fichier C:WinntSystem32shimgapi.dll

Si vous avez Windows XP

Supprimez le fichier C:WindowsSystem32taskmon.exe
Supprimez le fichier C:WindowsSystem32shimgapi.dll



ATTENTION : Ne supprimez pas le fichier taskmon.exe situé dans le dossier Windows ou Winnt. Le faux taskmon est situé dans le dossier System ou System32.

Supprimez aussi le fichier temporaire "Message" qui est situé dans votre dossier temporaire...

4/ Liens

[(F-Secure) F-Secure Virus Descriptions : Mydoom->http://www.f-secure.com/v-descs/novarg.shtml]
[(F-Secure) Fix : Special Disinfection Tool->http://www.f-secure.com/tools/f-mydoom.exe]
[(F-Secure) Special Disinfection Tool Description->http://www.f-secure.com/tools/f-mydoom.txt]

[(Sophos) W32/MyDoom-A->http://www.sophos.com/virusinfo/analyses/w32mydooma.html]
[(Sophos) Fix : Windows disinfector (GUI)->http://www.sophos.com/support/disinfection/mydooma.html
[(Sophos) Fix : Windows disinfector (DOS)->http://www.sophos.com/support/cleaners/mydoosfx.exe]

[(Symantec) W32.Novarg.A@mm->http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html]
[(Symantec) Comment appliquer le Fix : W32.Novarg.A@mm Removal Tool->http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.removal.tool.html]
[(Symantec) Fix : Obtaining the tool->http://securityresponse.symantec.com/avcenter/FxNovarg.exe]

[1] DDoS : Distributed Denial of Service. Attaque visant à rendre un service inopérant. Cette variante utilise de multiples machines qui se séparent le travail.

Laissez votre commentaire à propos de cet article

Securité / Hacking

  1. 29 Sept. 2015Internet & loi, quels dispositions sont à prendre en compte pour un éditeur de site ?2886 clics
  2. 15 Fév. 2007Défi aux pirates ! Craquez un programme informatique protégé et gagnez 32.768 euros3002 clics
  3. 15 Sept. 2006La nouvelle version d'ALTOSPAM est disponible2847 clics
  4. 26 Fév. 2006Traçabilité et anti-copie des produits de grande diffusion2205 clics
  5. 25 Fév. 2006AltaRiver Spam Blocker est un nouveau logiciel pour protéger les adresses email sur les sites web, contre les robots de spam.3520 clics
  6. 14 Fév. 2006Traçabilité et anti-copie des produits de grande diffusion2795 clics
  7. 9 Fév. 2006Service antispam en marque blanche destiné aux revendeurs2463 clics
  8. 27 Janv. 2006DOTEM : un système de marquage haute densité pour tracer les produits2548 clics
  9. 7 Oct. 2004Nouvelle offre de filtrage Antivirus et Antispam Protecmail.2623 clics
  10. 25 Sept. 2004Testez gratuitement la solution anti spam Altospam2243 clics
  11. 17 Sept. 2004Concernant les Hoax2694 clics
  12. 9 Sept. 2004VirusKeeper 2005: la détection intelligente des virus et logiciels espions2438 clics
  13. 30 Août 2004Yapuka : Retirer le mot de passe Bios3512 clics
  14. 30 Août 2004Le SPAM téléphonique ! Une arnaque qui pourrait vous coûter cher.2641 clics
  15. 30 Août 2004Faille dans Word 2000 / XP, un mot de passe contre les modifications inutile !2162 clics
  16. 25 Août 2004Hoax : Mme MARIAM KONE2597 clics
  17. 25 Août 2004Hoax : M. Salif Sinare2224 clics
  18. 14 Août 2004Pfizer poursuit en justice des pharmacies en ligne illégitimes pour contrer l'épidémie de spam2282 clics
  19. 14 Août 2004Le nouveau ver MyDoom-Q utilise le moteur de recherche de Yahoo pour trouver de nouvelles adresses cibles2011 clics
  20. 9 Août 200430 failles en attente de corrections pour Oracle depuis janvier dernier !2137 clics
  21. 4 Août 2004Singapore ouvre le Hacking Contest Seras-tu capable de rivaliser avec les meilleurs2287 clics
  22. 4 Août 2004MyDoom.Q utilise Yahoo Search pour se trouver des amis Tu veux être mon ami ?1846 clics
  23. 4 Août 2004Juin, Juillet et Decembre : Les mois préférés des virus ?2049 clics
  24. 3 Août 2004MyDoom.O lance de nouveau une DDoS contre Microsoft.com Mais ce n'est pas tout...1914 clics
  25. 31 Juil. 2004Internet Security Systems ouvre une agence à Lyon2018 clics
  26. 15 Juil. 2004Une faille sur Mozilla corrigée en moins de 24H1842 clics
  27. 10 Juil. 2004Altospam, une solution française performante de prévention et de lutte antispam1996 clics
  28. 10 Juil. 2004Hoax : M.Michel KOUASSI2403 clics
  29. 10 Juil. 2004Hoax : Steven Johnson, Jr.2157 clics
  30. 4 Juil. 2004MSIE : Il est temps de dire STOP ! Vous croyez être à l'abris ?2286 clics