Alerte : Deux virus exploitent les machines infectées par MyDoom

Par K-OTik Security © () - Le nouveau virus Vesser/Deadhat se propage rapidement en exploitant les machines infectées par MyDoom.A ou MyDoom.B. W32.HLLW.Deadhat ne se propage pas via email, il balaye/scanne des adresses d'IP aléatoires en visant les ports 1080, 3127 et 3128 (Utilisés par les backdoors MyDoom).

[On signale notamment l'apparition d'une nouvelle variante du ver MyDoom (MyDoom.C/Doomjuice.A = intrenat.exe), qui exploite lui aussi les machines infectées par Mydoom.A via le port 3127. Il lancera plusieurs attaques DDoS contre le site www.microsoft.com]

 

Une fois la pénétration réussie, Vesser (%System%\sms.exe) ouvre une porte dérobée sur le port TCP 2766 (la connexion vers ce port nécessitera une authentification via une clé cryptée) , puis essaye de désinstaller le ver MyDoom en supprimant certaines clés du registre :

 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Explorer
 HKEY_CURRENT_USER\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32
 HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32

Il cherche ensuite le répertoire de partage p2p "Soulseek", puis s'autocopie en utilisant l'un des noms suivants :

  • Windows2003Keygen.exe
  • mIRC.v6.12.Keygen.exe
  • Norton.All.Products.KeyMkr.exe
  • F-Secure.Antivirus.Keymkr.exe
  • FlashFXP.v2.1.FINAL.Crack.exe
  • SecureCRTPatch.exe
  • TweakXPProKeyGenerator.exe
  • FRUITYLOOPS.SPYWIRE.FIX.EXE
  • ALL.SERIALS.COLLECTION.2003-2004.EXE
  • WinRescue.XP.v1.08.14.exe
  • GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe
  • BlindWrite.Suite.v4.5.2.Serial.Generator.exe
  • Serv-U.allversions.keymaker.exe
  • WinZip.exe
  • WinRar.exe
  • WinAmp5.Crack.exe

Il termine les processus associés aux antivirus :

  • _avp
  • kfp4gui
  • kfp4ss
  • zonealarm
  • Azonealarm
  • avwupd32
  • avwin95
  • avsched32
  • avp
  • avnt
  • avkserv
  • avgw
  • avgctrl
  • avgcc32
  • ave32
  • avconsol
  • apvxdwin
  • ackwin32
  • blackice
  • blackd
  • dv95
  • espwatch
  • esafe
  • efinet32
  • ecengine
  • f-stopw
  • frw
  • fp-win
  • f-prot95
  • f-prot95
  • f-prot
  • fprot
  • f-agnt95
  • gibe
  • iomon98
  • iface
  • icsupp
  • icssuppnt
  • icmoon
  • icmon
  • icloadnt
  • icload95
  • ibmavsp
  • ibmasn
  • iamserv
  • iamapp
  • kpfw32
  • nvc95
  • nupgrade
  • nupdate
  • normist
  • nmain
  • nisum
  • navw
  • navsched
  • navnt
  • navlu32
  • navapw32
  • zapro

Il termine les processus associés à MyDoom :

  • document
  • readme
  • doc
  • text
  • file
  • data
  • test
  • message
  • body
  • taskmon
  • xsharez_scanner
  • BlackIce_Firewall_Enterpriseactivation_crack
  • zapSetup_95_693
  • MS59-56_hotfix
  • winamp0
  • NessusScan_pro
  • attackXP-6.71

Il se connecte à un serveur IRC spécifique

 créé par l'auteur.

 Désinfection - Antivirus EnLigne

Source : © K-OTik.COM       
  
 

Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits