Page principale >Virus
Suite...
Suite...
Suite...
Suite...
Suite...
Virus CodeRed F alias CodeRed.v3 CodeRed III Bady.C
Une nouvelle variante mineure de CodeRed II a été trouvée. CodeRed.F diffère pour seulement deux bytes par rapport au CodeRed II original. CodeRed II remettra en marche le système si l'année est postérieure à 2001. De plus, il inclut le trojan VirtualRoot.
CodeRed.F scanne de IP pour rechercher des serveurs vulnérable Microsoft IIS 4 et 5 et utilise une vulnérabilité de débordement de tampon(buffer overflow)pour infecter les ordinateurs à distance. Le ver s'injecte directement dans la mémoire, plutôt que de se copier comme dossier sur le système. En outre, CodeRed.F crée un dossier détecté comme Trojan.VirtualRoot . Trojan.VirtualRoot donne à l'intrus le plein accès à distance au serveur.
Quand un serveur est infecté, le ver:
1. Appelle sa routine d'initialisation, qui identifie l'adresse de base de Kernel32.dll dans l'espace adresse de processus du service du serveur IIS. 2. Recherche l'adresse de GetProcAddress. 3. demarre pour appeler GetProcAddress pour obtenir l'accès à un ensemble d'adresses d'api, comme:
LoadLibraryA
CreateThread
..
..
GetSystemTime
Puis, le ver charge WS2_32.dll pour accéder aux fonctions, telles que socket, le closesocket, et le WSAGetLastError. De User32.dll, le ver obtient ExitWindowsEx, qu'il emploie pour remettre en marche le système.
Le thread principal vérifie les deux marqueurs différents:
1. Le premier marqueur, "29A," commande l'installation du Trojan.VirtualRoot.
2. L'autre marqueur est une sémaphore appelée "CodeRedII." Si la sémaphore existe, le ver entre dans une veille infini.
Après, le thread principal vérifie la langue par défaut. Si la langue par défaut est Chinois (Taiwan ou la RPC), il crée 600 nouveaux hreads; autrement, il en crée 300. Ces threads produisent des adresses aléatoires d'Ip qui sont utilisées pour rechercher de nouveaux serveurs à infecter. Tandis que ces thread fonctionnent, le thread principal copie Cmd.exe du dossier \System de Windows NT aux dossiers suivants, s'ils existent:
C:\Inetpub\Scripts\Root.exe
D:\Inetpub\Scripts\Root.exe
C:\Progrâ1\Common~1\System\MSADC\Root.exe
D:\Progrâ1\Common~1\System\MSADC\Root.exe
Si le Trojan, que le ver laisse, a modifié la clef d'enregistrement:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\W3SVC\Parameters\Virtual Roots
en ajoutant quelques nouvelles clefs et en plaçant le groupe d'utilisateur à 217, il permet à un intrus de commander le serveur en envoyant une requete HTTP GET pour executer scripts/root.exe sur le serveur infecté.
Le thread principal veille pendant 48 heures sur les systèmes chinois et pendant 24 heures sur d'autres systèmes. Les 300 ou 600 threads travaillent et tentent d'infecter d'autres systèmes. Quand le thread principal se réveille, il oblige l'ordinateur à redémarrer. En outre, tous les threads vérifient si le mois est octobre ou plus tard, ou si l'année est 34951 plus grande que l'année en cours. Si oui, l'ordinateur est remis en marche.
Le ver copie Cmd.exe au dossier d'exécution par défaut de IIS, permettant la prise de controle. Il crée également un fichier, qui a ses attributs réglés à caché, système, et lecture seule, sur le disque root ou C:\Explorer.exe ou D:\Explorer.exe.
L'infection dure pendant 24 ou 48 heures, et alors l'ordinateur est remis en marche. Cependant, le même ordinateur peut être réinfecté jusqu'à ce qu'il soit patché avec la dernière mise à jour de Microsoft. Si le mois est octobre ou plus tard, ou l'année est 34951 plus grande que l'année en cours, l'ordinateur sera également remis en marche. Quand l'ordinateur est remis en marche, le Trojan VirtualRoot est exécuté quand le système essaye d'exécuter Explorer.exe. Le Trojan (C:\Explorer.exe) dort pendant quelques minutes et remet à zéro ces clefs pour s'assurer que les clefs d'enregistrement sont modifiées.
Le Trojan change également la clef d'enregistrement:
HKEY_LOCAL_MACHINE\Software\Microsoft \ Windows NT\CurrentVersion\Winlogon
de sorte que la valeur de:
SFCDisable
est placée à: 0xFFFFFF9D
Ceci neutralise le contrôleur de dossier de système (SFC).
Pour se désinfecter
Mettre à jour votre serveur
Terminez le processus courant lié au Trojan(Vous devriez voir deux processus appelés Explorer.exe: un d'eux est légitime, l'autre est le Trojan.)
Après, supprimez les fichiers Explorer.exe créés sur le système infecté. Ces fichiers ont les attributs caché, système, et lecture seule
Telecharger l'utilitaire permettant de se désinfecter de codeRed I, II et F
Quand un serveur est infecté, le ver:
1. Appelle sa routine d'initialisation, qui identifie l'adresse de base de Kernel32.dll dans l'espace adresse de processus du service du serveur IIS. 2. Recherche l'adresse de GetProcAddress. 3. demarre pour appeler GetProcAddress pour obtenir l'accès à un ensemble d'adresses d'api, comme:
LoadLibraryA
CreateThread
..
..
GetSystemTime
Puis, le ver charge WS2_32.dll pour accéder aux fonctions, telles que socket, le closesocket, et le WSAGetLastError. De User32.dll, le ver obtient ExitWindowsEx, qu'il emploie pour remettre en marche le système.
Le thread principal vérifie les deux marqueurs différents:
1. Le premier marqueur, "29A," commande l'installation du Trojan.VirtualRoot.
2. L'autre marqueur est une sémaphore appelée "CodeRedII." Si la sémaphore existe, le ver entre dans une veille infini.
Après, le thread principal vérifie la langue par défaut. Si la langue par défaut est Chinois (Taiwan ou la RPC), il crée 600 nouveaux hreads; autrement, il en crée 300. Ces threads produisent des adresses aléatoires d'Ip qui sont utilisées pour rechercher de nouveaux serveurs à infecter. Tandis que ces thread fonctionnent, le thread principal copie Cmd.exe du dossier \System de Windows NT aux dossiers suivants, s'ils existent:
C:\Inetpub\Scripts\Root.exe
D:\Inetpub\Scripts\Root.exe
C:\Progrâ1\Common~1\System\MSADC\Root.exe
D:\Progrâ1\Common~1\System\MSADC\Root.exe
Si le Trojan, que le ver laisse, a modifié la clef d'enregistrement:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\W3SVC\Parameters\Virtual Roots
en ajoutant quelques nouvelles clefs et en plaçant le groupe d'utilisateur à 217, il permet à un intrus de commander le serveur en envoyant une requete HTTP GET pour executer scripts/root.exe sur le serveur infecté.
Le thread principal veille pendant 48 heures sur les systèmes chinois et pendant 24 heures sur d'autres systèmes. Les 300 ou 600 threads travaillent et tentent d'infecter d'autres systèmes. Quand le thread principal se réveille, il oblige l'ordinateur à redémarrer. En outre, tous les threads vérifient si le mois est octobre ou plus tard, ou si l'année est 34951 plus grande que l'année en cours. Si oui, l'ordinateur est remis en marche.
Le ver copie Cmd.exe au dossier d'exécution par défaut de IIS, permettant la prise de controle. Il crée également un fichier, qui a ses attributs réglés à caché, système, et lecture seule, sur le disque root ou C:\Explorer.exe ou D:\Explorer.exe.
L'infection dure pendant 24 ou 48 heures, et alors l'ordinateur est remis en marche. Cependant, le même ordinateur peut être réinfecté jusqu'à ce qu'il soit patché avec la dernière mise à jour de Microsoft. Si le mois est octobre ou plus tard, ou l'année est 34951 plus grande que l'année en cours, l'ordinateur sera également remis en marche. Quand l'ordinateur est remis en marche, le Trojan VirtualRoot est exécuté quand le système essaye d'exécuter Explorer.exe. Le Trojan (C:\Explorer.exe) dort pendant quelques minutes et remet à zéro ces clefs pour s'assurer que les clefs d'enregistrement sont modifiées.
Le Trojan change également la clef d'enregistrement:
HKEY_LOCAL_MACHINE\Software\Microsoft \ Windows NT\CurrentVersion\Winlogon
de sorte que la valeur de:
SFCDisable
est placée à: 0xFFFFFF9D
Ceci neutralise le contrôleur de dossier de système (SFC).
Pour se désinfecter
Mettre à jour votre serveur
Terminez le processus courant lié au Trojan(Vous devriez voir deux processus appelés Explorer.exe: un d'eux est légitime, l'autre est le Trojan.)
Après, supprimez les fichiers Explorer.exe créés sur le système infecté. Ces fichiers ont les attributs caché, système, et lecture seule
Telecharger l'utilitaire permettant de se désinfecter de codeRed I, II et F
Les + Lus Dans Cette Catégorie
Virus Xabot
Xabot est un ver qui essaye de se propager par Irc et peer-to-peer. Il possede aussi des fonctionnalités indetiques à un trojan, permettant de prendre controle d'un pc infecté à distance. L'existence du dossier wininit32.exe est une indication d'une infection possible.Suite...
Virus Hobble.F (alias Alcatap )
Hobble.F est une variante du ver de Hobble. Il essaye de se propager à travers le réseau de partage de KaZaA. Il s'envoie également aux adresses d'email qu'il recherche à partir des dossiers htm et html qu'il trouve dans le cache d'Internet Explorer, et à toutes les adresses dans le carnet d'adresses de Microsoft Outlook.Suite...
Virus SQLExp SQL Slammer responsable du ralentissement
Ce ver est le responsable du ralentissement actuel d'internet. Il rappelle Code red et semble aussi virulent que ce dernier. Il est indetecté par les anti virus type scanner car il exsite uniquement en memoire. Le ver envoie 376 bits au port 1434 udp - le port de service de résolution de serveur de SQL.Suite...
Virus Lirva alias Avril.A Lirva.b Lirva.a Avron.c
Lirva est un ver qui se propage par egalement IRC, ICQ, KaZaA et le réseau. Ce ver essaye de terminer les processus d'antivirus et de firewall. Il envoit par email les mots de passe cachés de gestion de connection de Windows 95/98/Me à l'auteur de virus.Suite...
Virus Cult.B alias Lanet
Cult.B est un ver qui utilise son propre moteur de smtp pour se propager. Les destinataires de l'email sont construits aléatoirement d'une liste de nom et d'un domaine choisi. Cult.B essaye également de se propager en utilisant le réseau de partage de KaZaA. De plus, le ver permet une prise de controle à distance du PC infecté.Suite...
Navigation Rapide
|
Astuces Webmaster Astuces WINDOWS Astuces WINDOWS XP Comment ça marche DVD / Secret Evenements Exploits Hacking / Sécurité | Hardware Jeux Vidéo linux News Script(php,java...) Telephonie/GSM Virus |
