REPUBLIQUE ALGERIENNE DEMOCRATIQUE ET POPULAIRE
Ministere de l'Enseignememt Superieur et de la Recherche Scientifique

Général


Ressources


Avis de l'expert


WAPKAYANET

Service WAP

 Accédez à nos actualités sur votre téléphone mobile et consultez les dernières alertes de sécurité en temps réel à l'adresse :


http://www.wikayanet.dz/
wap/index.wml 



Contact
Trojan.Peacomm.C [Symantec]


Date de découverte :22 Aout 2007

Description:

    Trojan.Peacomm.C est un cheval de Troie qui se propage par courrier électronique, en rassemblant des informations système et des adresses e-mail sur la machine infectée et en utilisant un fichier partagé sur le réseau. Ce programme malicieux peut être également détecté comme Trojan.Packed.13 [Symantec]


Alias/Variante:
    WORM_ZHELATI.MAB [Trend], Worm/Storm.tch [Antivir], Downloader.Tibs.7.AC [AVG], Trojan.Peed.IHU [BitDefender], Trojan.Packed.142 [Dr.Web], Win32/Sintun.AF [eTrust], Email-Worm.Win32.Zhelatin.il [F-Secure], Email-Worm.Win32.Zhelatin.il [Kaspersky]

Type: Cheval de Troie

Niveau d'alerte: 2

Système(s) Infecté(s): Windows XP, Windows Server 2003, Windows 2000


Description détaillée:

    Ce cheval de Troie peut être téléchargé comme l’un des fichiers suivants :
    • ecard.exe
    • msdataaccess.exe
    • applet.exe

    Quand il est exécuté sur la machine cible :

    - Il se copie comme : %Windir%\spooldr.exe

    -Puis, il dépose un pilote embarqué du noyau système à l’emplacement suivant :
    %System%\spooldr.sys

    - Il tente ensuite d’infecter le pilote windows suivant avec une copie de Trojan.Peacomm!inf : %System%\drivers\kbdclass.sys

    - Il tente également d’infecter la copie présente en mémoire cache du pilote suivant : %System%\dllcache\kbdclass.sys


    - Le pilote infecté est alors copié aux emplacements suivants :
    - %Windir%\LastGood\system32\drivers\kbdclass.sys
    -%System%\Drivers\old5.tmp

    - le cheval de Troie termine ses tâches ainsi et attend alors l’utilisateur pour redémarrer sa machine

    - quand la machine est redémarrée, le fichier kbdclass.sys est alors chargé

    - et le pilote infecté charge à son tour le fichier %System%\spooldr.sys

    - ce fichier s’injecte ensuite dans le processus : explorer.exe

    - il dissimule le processus : spooldr.exe, ainsi que les deux fichiers :
    -%System%\spooldr.sys
    -%Windir%\spooldr.ini

    - il désactive les logiciels de sécurité suivants une fois rencontrés sur la machine :
    • ZoneAlarm Firewall
    • PC Watchdog Systems
    • Bcfilter Jetico Personal Firewall
    • Outpost Firewall
    • McAfee Anti Spyware
    • McAfee Internet Security Suite
    • FSecure Black Light
    • Kaspersky Anti Virus
    • Symantec Anti Virus
    • BitDefender Anti Virus
    • FSecure Anti Virus
    • Microsoft Anti Spyware
    • InterCheck Monitor
    • NOD32 Anti Virus
    • Panda Anti Virus

    -ensuite, le cheval de Troie vérifie l’existence de Vmware ou VirtualPc sur la machine. S’il trouve l’une des machines virtuelles, il rentre alors dans une boucle infinie sans rien faire

    -Dans le cas de non présence de machine virtuelle, il crée alors l’événement suivant pour vérifie qu’une seule copie de la menace est en exécution sur la machine : K8JT6Hnjm$#jui#WWhHHgG

    - il dépose ensuite une liste cryptée de machines (peers) initiales dans le fichier de configuration suivant : %Windir%\spooldr.ini

    - il enregistre la machine infectée, comme un peer dans le fichier partagé existant sur le réseau, en utilisant le Protocol Overnet et en se connectant aux peers déjà spécifiés dans la liste initiale des peers. Il utilise un port UDP choisi aléatoirement pour communiquer avec d’autres peers sur le réseau.

    - le fichier partagé peut être alors utilisé par un attaquant distant comme une porte dérobée pour compromettre la machine

    - le cheval de Troie vol aussi des informations sur le système de la machine cible


    - et collecte des adresses e-mail depuis des fichiers avec les extensions suivantes :
    - .wab
    - .txt
    - .msg
    - .htm
    - .shtm
    - .stm
    - .xml
    - .dbx
    - .mbx
    - .mdx
    - .eml
    - .nch
    - .mmf
    - .ods
    - .cfg
    - .asp
    - .php
    - .pl
    - .wsh
    - .adb
    - .tbb
    - .sht
    - .xls
    - .oft
    - .uin
    - .cgi
    - .mht
    - .dhtm
    - .jsp
    - .dat
    - .lst
    Et puis il envoie des spams à ces adresses en utilisant son propre moteur SMTP.
    Et il n’envoie pas l’e-mail quand l’adresse contient l’une des chaines de caractères suivants :
    • @microsoft
    • rating@
    • f-secur
    • news
    • update
    • anyone@
    • bugs@
    • contract@
    • feste
    • gold-certs@
    • help@
    • info@
    • nobody@
    • noone@
    • kasp
    • admin
    • icrosoft
    • support
    • ntivi
    • unix
    • bsd
    • linux
    • listserv
    • certific
    • sopho
    • @foo
    • @iana
    • free-av
    • @messagelab
    • winzip
    • google
    • winrar
    • samples
    • abuse
    • panda
    • cafee
    • spam
    • pgp
    • @avp.
    • noreply
    • local
    • root@
    • postmaster@
    •
    Et il vole l’information contenue dans la clé du registre suivante qui contient un ID unique pour la machine dans le fichier partagé sur le réseau :
    HKEY_LOCAL_MACHINE\Microsoft\Windows\ITStorage\Finders\"config"

    - Et enfin il peut télécharger et exécuter des fichiers malicieux de / vers la machine infectée.


Guérison:

    1. Désactiver la réstauration du système (Windows Me/XP)

    2. Mettre à jour l'antivirus

    3. Exécuter un scan complet du système et supprimer tous les fichiers sauvegardés par le cheval de Troie







[ Retour ]

VIRUS




  © 2004 BSL, CERIST. All Rights Reserved.Charte de Vie Privée