Par Chaouki Bekrar (K-OTik) - Un nouveau cheval de Troie se répand via la désormais célèbre faille Microsoft Internet Explorer (MS03-032). Le trojan QHosts (Delude) exploite la vulnérabilité Object Data via une simple page HTML, qui permettra l'exécution d'un code malicieux avec les privilèges de la victime.

Qhosts est un cheval de Troie qui change le paramètre du serveur DNS principal Windows de manière à ce que toutes les machines infectées utilisent le même hôte pour les requêtes DNS. Si le nombre d'ordinateurs infectés est élevé, cela peut lancer une attaque par déni de service efficace sur le serveur DNS.

Qhosts "pirate" aussi l'utilisation du navigateur Internet Explorer de façon à ce que les requêtes web soient redirigées vers le serveur choisi par l'auteur du cheval de Troie. Ce cheval de Troie est installé et exécuté si un utilisateur visite une page Web qui exploite une faille dans Internet Explorer. Un script VB imbriqué dans la page web est exécuté automatiquement lorsque la page est visualisée à l'aide d'Internet Explorer.

Le script VB injecte le fichier aolfix.exe dans le dossier temporaire de l'utilisateur et l'exécute. Aolfix.exe est un fichier de commandes Windows converti en un exécutable binaire Windows à l'aide de la version de démo de l'utilitaire Batch file Compiler V5.1. Aolfix.exe crée un dossier caché bdtmp\tmp, extrait un fichier de commandes avec un nom aléatoire et exécute le fichier de commandes.

Le fichier de commandes crée plusieurs fichiers dans le dossier Windows. Le fichier Hosts est responsable du "piratage" d'Internet Explorer. Qhosts copie le fichier HOSTS dans le dossier \Help et lui ajoute le fichier HOST d'origine.

Le cheval de Troie change dans le registre les valeurs suivantes

HKLM\System\ControlSet001\Services\Tcpip\Parameters\DataBasePath and
HKLM\System\ControlSet002\Services\Tcpip\Parameters\DataBasePath

de manière à ce que la copie du cheval de Troie des fichiers HOSTS soit utilisée par le système. Il existe quelques variantes connues du cheval de Troie. En fonction de la variante, le cheval de Troie peut paramétrer quelques autres valeurs du registre, comme

HKLM\System\CurrentControlSet\Services\VxD\MSTCP
EnableDNS = 1
NameServer = 216.127.92.38 or 69.57.146.14, 69.57.147.175
Hostname = "host"
Domain= "mydomain.com"

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
ProxyEnable= 00000000
MigrateProxy=00000000
HKCU\Software\Microsoft\Internet Explorer\Main
Use Search Asst=no
Search Page= http://
Search Bar=http:///ie
HKCU\Software\Microsoft\Internet Explorer\SearchURL
""="http:///keyword/
provider=gogl

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search
SearchAssistant=http:///ie
HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\interfaces\windows
r0x=your s0x
HKLM\SYSTEM\ControlSet002\Services\Tcpip\Parameters\interfaces\windows
r0x=your s0x

Certaines variantes injectent le script VB o.vbs dans le dossier Windows et l'exécutent. Le script tente d'utiliser Windows Management Instrumentation pour changer le paramètre du serveur DNS principal pour l'interface réseau.

** Microsoft à publié aujourd'hui un patch cumulatif fixant ces variantes de la vulnérabilité MS03-032 **

Removal Tool : http://symantec.com/[...]/trojan.qhosts.removal.tool.html
Patch MS03-032 : http://www.k-otik.net/bugtraq/10.04.MS03-032Fix.php

Sources : K-OTik / Sophos / Symantec