MyDoom : Encore un virus plutot dangereux pour les serveurs...

Si vous pensiez avoir tout vu en matière de virus, voici un nouveau virus qui s'amuse à créer de multiples zombies... Un nouveau virus depuis hier est entrain de se propager via Kazaa et les e-mails.


1/ Analyse de l'attaque

1.1/ Propagation

Le virus se propage donc via E-mail ou par le réseau FastTrack utilisé principalement par Kazaa.

1.1.1/ E-mail

L'E-mail contient un message d'erreur ainsi qu'un fichier attaché, qui n'est autre que le virus.

Le sujet de l'E-mail est un de ceux décrits dans la liste ci-dessous :



test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
[random collection of characters]



Le corps de l'E-mail peut être l'un des textes suivants :



test

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

The message contains Unicode characters and has been sent
as a binary attachment.

Mail transaction failed. Partial message is available.



Le fichier attaché peut avoir un des noms qui suivent :



body
data
doc
document
file
message
readme
test
text
[random collection of characters]



Le fichier attaché peut avoir une des extensions suivantes :



pif
scr
exe
cmd
bat
zip



Le fichier est soit un EXEcutable soit un fichier ZIP.

1.1.2/ Kazaa

Via Kazaa le fichier peut avoir un des noms qui suivent :



winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004



Avec une des extensions qui suivent :



.bat
.exe
.scr
.pif



1.2/ Impact sur le système infecté

1.2.1/ Implantation dans le système

1.2.1.1/ Registre

Le virus va d'abord obliger taskmon.exe à se lancer lorsque que vous ouvrez votre compte...

Pour ça il va insérer une des deux clefs suivantes, dans le registre :



[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"TaskMon" = %sysdir%taskmon.exe
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"TaskMon" = %sysdir%taskmon.exe



Le virus va aussi obliger Explorer.exe à charger shimgapi.dll via cette clef :

[HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32]
"(Default)" = "%System%shimgapi.dll"

Il ajoutera aussi deux autre clefs pour assurer le chargement du dll dans :

[HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32]
[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32]

1.2.1.2/ Système de fichier

Le virus va d'abord se copier à la place de taskmon.exe (Le planificateur de tâche) et va ensuite forcer Windows à charger le DLL (Voir plus haut).

Il va ensuite mettre un .dll, shimgapi.dll, dans le dossier temporaire ou dans le dossier système et forcer son chargement via Explorer.exe qui sera ainsi le père du .dll.

Le virus crée aussi un fichier dans %Temp%/Message (%Temp% représentant votre dossier contenant les fichiers temporaires) qui est affiché dans Notepad.

1.2.1.3/ Applications

Il ouvrira %Temp%/Message qui contient du texte inidentifiable dans Notepad.exe

Il va ensuite lancer le cheval de troie, intégré dans le dll shimgapi.dll, qui ouvrira un serveur sur un port entre 3127 et 3198. Le serveur communique via TCP.

Il scannera aussi tout les fichiers ayant ces extensions :



pl
adb
tbb
dbx
asp
php
sht
htm
txt



Le scan sert à collecter un grand nombre d'e-mails. Le virus contient un interpréteur qui arrive à passer à travers des protections anti-spam simple (Protection d'E-mail en remplaçant @ et . par 'at' et 'dot')

1.3/ Impact sur le net

Une fois les adresses collectées, le virus envoie des e-mails avec le virus à toutes les adresses e-mail qu'il a collecté.

Le virus est aussi programmé pour lancer une attaque [1] DDoS sur le site www.sco.com entre le 1er et le 24 Février. Après cette date, la propagation et l'attaque s'arrêtera mais les machines infectées auront quand même un cheval de troie sur leurs machines qui continuera à tourner.

1.4/ Conception

1.4.1/ L'Executable en lui même

Le virus à été compressé via UPX et la plupart des symboles ont été renommés via une technique appelée rot13 (Technique consistant à faire une rotation de 13 places sur une lettre. Exemple :
A = N [BCDEF 5 GHIJK 10 LMN 13])

1.4.2/ Lancement

Au lancement, la partie cheval de troie du virus est mis dans un .dll (shimgapi.dll) qui se chargera uniquement de cette action. De plus le virus crée un mutex nommé SwebSipcSmtxSO, pour être sûr qu'il n'y a qu'une instance du virus qui tourne à la fois. (MUTual EXclusion object : Système permettant a de multiples threads d'un processus, d'effectuer la même action mais pas en simultanée. Ici cela permet au virus de ne tourner qu'une seule fois)

1.4.3/ Attaque sur SCO

L'attaque sur www.sco.com se fait en lançant chaque seconde une requête HTTP :


GET / HTTP/1.1


2/ Analyse des dégâts

2.1/ Impact sur le système

Une fois infecté, votre système pourra être contrôlé, soit dans le but de détruire ou d'infecter un peu plus votre système, soit pour attaquer une autre machine sur le net. Si la machine attaquée détecte l'attaque, elle croira que l'attaque vient de votre machine, ce qui sera le cas mais vous ne saurez au courant, qu'au moment où le propriétaire de la machine attaquée portera plainte contre vous.

2.2/ Impact sur le web

Ralentissement considérable des lignes et extinction de certains serveurs, engendré par la masse d'e-mails contenant le virus et circulant dans les lignes.

Il faut vous dire que 10.000 emails contenant un fichier de 32 ko génère un flux de 312,5 Mo (1 Mo = 1024 Ko).

Network Associates à reçu ±14.000 emails en une heure...

2.3/ Impatch sur SCO

Le site ne sera plus disponible durant l'attaque. Peut être qu'un serveur comme www1.sco.com sera utilisé en attendant que l'attaque s'arrête...

2.4/ But de virus

Ce virus a donc pour but de ralentir considérablement les lignes et de décribiliser le système d'exploitation GNU/Linux en faisant croire que le virus vient d'une personne militant pour Linux et l'OpenSource.

3/ Parades

3.1/ Fix automatiques

Plusieurs sociétés d'Antivirus ont proposés des "fix" pour enlever le virus de la machine.
Les liens sont donnés au dessous

3.2/ Retirer le virus manuellement

3.2.1/ Registre

Il est conseillé de désactiver la Restauration du Système si vous possédez Windows Me ou Windows XP.

Supprimez la valeur :

"Taskmon"="%System%taskmon.exe"

dans les clefs suivantes :



[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]



(Rappel : HKEY_LOCAL_MACHINE = HKLM. HKEY_CURRENT_USER = HKCU. HKEY_CLASSES_ROOT = HKCR . La casse n'est pas a respectée. Ainsi SOFTWARE = software = softWARE)


Supprimez les clefs suivantes :



[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]



Allez ensuite jusqu'à là clef [HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32] puis :



Si vous avez Windows NT/2K/XP :

Double cliquez sur Default
Modifiez la valeur en mettant ceci : %SystemRoot%System32webcheck.dll
Confirmez.

Si vous avez Windows 9x/ME

Double cliquez sur Default
Modifiez la valeur en mettant ceci : WindowsSystemwebcheck.dll
Confirmez.




3.2.2/ Système de fichier


Si vous avez Windows 9x/Me

Supprimez le fichier C:WindowsSystemtaskmon.exe
Supprimez le fichier C:WindowsSystemshimgapi.dll

Si vous avez Windows NT/2K

Supprimez le fichier C:WinntSystem32taskmon.exe
Supprimez le fichier C:WinntSystem32shimgapi.dll

Si vous avez Windows XP

Supprimez le fichier C:WindowsSystem32taskmon.exe
Supprimez le fichier C:WindowsSystem32shimgapi.dll



ATTENTION : Ne supprimez pas le fichier taskmon.exe situé dans le dossier Windows ou Winnt. Le faux taskmon est situé dans le dossier System ou System32.

Supprimez aussi le fichier temporaire "Message" qui est situé dans votre dossier temporaire...

4/ Liens

[(F-Secure) F-Secure Virus Descriptions : Mydoom->http://www.f-secure.com/v-descs/novarg.shtml]
[(F-Secure) Fix : Special Disinfection Tool->http://www.f-secure.com/tools/f-mydoom.exe]
[(F-Secure) Special Disinfection Tool Description->http://www.f-secure.com/tools/f-mydoom.txt]

[(Sophos) W32/MyDoom-A->http://www.sophos.com/virusinfo/analyses/w32mydooma.html]
[(Sophos) Fix : Windows disinfector (GUI)->http://www.sophos.com/support/disinfection/mydooma.html
[(Sophos) Fix : Windows disinfector (DOS)->http://www.sophos.com/support/cleaners/mydoosfx.exe]

[(Symantec) W32.Novarg.A@mm->http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html]
[(Symantec) Comment appliquer le Fix : W32.Novarg.A@mm Removal Tool->http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.removal.tool.html]
[(Symantec) Fix : Obtaining the tool->http://securityresponse.symantec.com/avcenter/FxNovarg.exe]

[1] DDoS : Distributed Denial of Service. Attaque visant à rendre un service inopérant. Cette variante utilise de multiples machines qui se séparent le travail.

Les dernières publications

Actualité libre de droit