From: C y b e r T e c h @ L i s t s . E x M a c h i n a . n e t <http://www.cybercafe21.net> & <http://www.cybercafe21.tv>
At 23:21 30/10/01, vous avez �crit: >From: C y b e r T e c h @ L i s t s . E x M a c h i n a . n e t > > Dans plusieurs ordinateurs (NT) j'ai trouv� une foultitude de fichiers >image.eml, imageclaire.eml, >claire.eml, claire_2.eml, un peu dans tous les disrectories (une >centaine). > > C'est quoi, sans doute un virus? Tout ceci pou savoir si le peux les >effacer tous (sous DOS par s�curit�). > >------------------------------------------------------------------------ > Daniel Taupin, 91400 ORSAY - France Il s'agit sans aucun doute du virus NIMDA. Voici une information que j'avais re�u de chez Kaspersky (antivirus AVP) : Alertes virus sur le ver W32.Nimda.A@mm. Ce ver se d�clenche automatiquement si la fen�tre de pr�visualisation des messages Outlook est activ�e. Kaspersky Antivirus recommande aux usagers de mettre � jour leur antivirus avant d�ouvrir leurs messageries Outlook. W32/Nimda-A est un virus Windows 32 qui se propage via e-mail, partages r�seau et sites Internet. Le virus W32/Nimda-A peut infecter les utilisateurs des syst�mes d'exploitation Windows 95/98/Me ainsi que Windows NT et 2000. C'est un ver qui se propage par Internet avec une pi�ce attach� dans un �mail (readme.exe), et se propage dans le r�pertoire commun a travers le r�seau local, et de plus il attaque les serveurs webs IIS (sites web). Ce ver se situe dans Windows est il a une taille de 57 Kb, et il est �crit en C++. Le virus essaie d'utiliser une faille MIME dans certaines version de Microsoft Outlook, Microsoft Outlook Express, et Internet Explorer qui permet d'ex�cuter automatiquement un fichier ex�cutable sans que l'utilisateur ne double-clique sur la pi�ce jointe. Il se d�clenche automatiquement lorsque le message qu�il contient est visualis�. Il se r�pand par e-mail et essaie de se propager via les partages r�seau. Cette vuln�rabilit� a deux caract�ristiques majeures : elle utilise le code HTML elle utilise un attachement cod� en Base64, marqu� comme audio/x-wav. Les deux actions parviennent � tromper Internet Explorer. En fait, le ver parvient � passer au travers d�un fichier audio qui s�ex�cute automatiquement lorsque le message est ouvert. Ensuite, afin de fonctionner a partir d'un message infect�, le ver exploite une faille de s�curit�. Le ver s'installe alors sur le syst�me, ex�cute une routine et se propage. Le ver contient le texte suivant "copyright" : Concept Virus(CV) V.5, Copyright(C)2001 R.P.China Infection L�infection se produira lorsque l�usager ouvrira son message ou le visualisera dans son client de massagerie Outlook. En plus, il s�auto-envoie par e-mail en �tablissant des connections � Internet � travers les commandes SMTP. Durant son infection le vers se duplique : Si vous avez un system d'exploitation Windows 9.x dans le r�pertoire Windows avec Outlook express dans le r�pertoire Windows\System et remplace le fichier original RICHED20.DLL dans le repertoire Windows et se copie lui m�me avec le nom et les attributs cach�s suivants : LOAD.EXE. Si vous avez un system d'exploitation Windows Nt ou 2000 dans le r�pertoire Windows avec Outlook express dans le r�pertoire Windows\System et remplace le fichier original RICHED20.DLL dans le repertoire Windows\System32 et se copie lui m�me avec le nom et les attributs cach�s suivants : LOAD.EXE. dans le groupe administrateur locaux il cr�e un utilisateur appel� Guest, apr�s quoi il partage le volume C: comme C$ Ceci permet au virus de se lancer � chaque fois qu�une application utilisant DLL (comme par exemple Wordpad) est ex�cut�e. Ce dernier est ensuite enregistrer dans le fichier System.ini pour d�marrer automatiquement le programme lors du lancement de Windows. [boot] shell=explorer.exe load.exe -dontrunold Le vers se duplique dans un fichier temporaire avec une extension MEP*.TMP et MA*.TMP.EXE par exemple : mep01A2.TMP mep1A0.TMP.exe mepE002.TMP.exe mepE003.TMP.exe mepE004.TMP Les fichiers EXE ont les attributs Fichiers Cach�s, de m�me que LOAD.EXE (voir ci-dessus). Le ver ex�cute une routine et se propage. D�pendant de la version de Windows, il affect EXPLORER.EXE et peut s'ex�cuter en arri�re plan en tant que service. Infections par E-mail. Afin de se propager, il envoie des messages infect�s, ensuite il se connecte via un client sur le r�seau gr�ce au protocole SMTP, et envoie des copies sur des adresses �mails victimes. Afin d'obtenir une adresse �mail victime, le ver proc�de de deux fa�ons : 1 . Il balaye les extensions *.HTM et *.HTML et v�rifie qu'il envoie les bons caract�res. 2. IL utilise MAPI, se connecte � Microsoft Exchange et obtient gr�ce � cela les adresses �mails. Le virus se fait suivre � d'autres adresses e-mail trouv�es sur l'ordinateur. De plus, le virus recherche des serveurs Internet IIS �tant touch�s par la faille Unicode Directory Traversal. Le code alt�r� par le virus ouvrira un autre fichier appel� readme.eml (un format utilis� par la messages e-mail Outlook Express). Ce fichier contient le code du virus. Il essaie d'alt�rer le contenu des pages de tels serveurs, recherchant les noms de fichiers suivants : index.html, index.htm, index.asp, readme.html, readme.htm, readme.asp main.html, main.htm, main.asp, default.html, default.htm, default.asp Les messages infect�s sont du type HTML et contiennent : Subject: empty or random Body: empty Attach: README.EXE Si le site Internet est alors visit� par un utilisateur avec une version non s�curis�e d'Internet Explorer, le code malveillant t�l�charge automatiquement un fichier nomm� readme.eml sur l'ordinateur de l'utilisateur - qui est alors ex�cut�, faisant suivre le virus une fois de plus. Le virus contient le texte suivant : "Copyright 2001 R.P.China". Il est important de noter qu�un syst�me qui comporte ces vuln�rabilit�s va ex�cuter les fichiers .eml infect�s automatiquement, � chaque fois que l�option �Afficher le contenu web dans les dossiers� est choisie. Le nom des sujets des messages sont al�atoirement choisis suivant un fichier s�lectionn� dans : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal Habituellement il se situe dans "Mes Documents" ou il choisit al�atoirement un fichier dans le disque dur C: Afin de se propager a partir des messages infect�s, le vers utilise la faille "IFRAME", cette vuln�rabilit� est d�crite sur le site de Microsoft : Microsoft Security Bulletin (MS01-020): L'ent�te MIME est incorrect et provoque lors de l'envoi d'un message �mail avec un fichier attach� par IE une erreur. http://www.microsoft.com/technet/security/bulletin/MS01-020.asp T�l�chargement du patch sur : http://www.microsoft.com/Windows/ie/downloads/critical/q290108/default.asp Qu'est ce qui cause cette vuln�rabilit� ? Si un message contient un fichier ex�cutable, dont le type MIME est inexactement donn� comme un ou plusieurs types de fichiers peu communs, une imperfection dans IE (Internet explorer) fera que la pi�ce jointe sera ex�cut�e sans afficher une boite de dialogue d'avertissements. Domaine d'action du patch. Le patch corrige la table MIME en �liminant cette faille, et les diff�rents fichiers qui sont associ�s aux actions IE. Ceci a l'effet d'emp�cher les Emails de pouvoir lancer automatiquement les fichiers ex�cutables. Propagation via le r�seau local. Le ver balaye les lecteurs locaux et partag�s (mapper) et les p�riph�riques de trois fa�ons diff�rentes, et infecte tous les r�pertoires accessibles. Pendant l'infection, le ver proc�de de deux mani�res diff�rentes : 1. Il cr�e des fichiers .EML (dans 95%) ou .NWS (dans 5%) avec des noms al�atoirement choisis. En cons�quence, ces fichiers .EML et .NWS se retrouve partout sur une machine infect�e (et dans le r�seau local), et il peut y avoir des milliers. Ces fichiers contiennent la copie du ver sous la forme d'E-mail. La signature est un message HTML avec la copie du ver sous enveloppe MIME, et avec la faille IFRAME comme d�crit ci-dessus. En �tant ouvert, ce message infecte imm�diatement une machine vuln�rable. 2. Le ver recherche des combinaisons de nom+extension: *DEFAULT* , *INDEX* , *MAIN* , *README* + .HTML, .HTM, .ASP (* NOM * moyens qui peuvent �tre une sous-cha�ne dans le nom du fichier). Au cas o� un tel fichier serait trouv�, le ver se copie sous la forme d'un E-mail sous le nom README.eml, et ajoute au fichier victime du HTM/asp un Javascript qui ouvre simplement le fichier README.eml quand le fichier HTML/asp est ouvert, il lance alors le ver en cons�quence. En cons�quence, le ver infecte les pages Web, et peut se propager sur le PC du visiteur qui consulte ces sites Web. Propagation et infection du serveur web IIS. Pour t�l�charger son fichier sur le PC du visiteur, il utilise une commande ftp, et lance un serveur provisoire de TFTP sur une machine infect�e (en cours) pour traiter la commande "obtenir des donn�es" sur le PC (� distance) du visiteur exactement de la m�me mani�re que { "BlueCode":IISWorm_BlueCode" } le ver IIS. Le nom du fichier t�l�charg� sur le PC du visiteur est ADMIN.dll. Nous conseillons aux utilisateurs dont les serveurs web ont vu leur s�curit� compromise par Nimda de remplacer tous leurs fichiers modifi�s, et de r�aliser un audit de s�curit� complet. L'un des exploits de Nimda pour attaquer les serveurs repose sur les trous laiss�s derri�re eux par les pr�c�dentes attaques de W32/CodeRed-II ; d'ailleurs, Nimda lui-m�me essaie d'ouvrir des trous de s�curit� suppl�mentaires, tels que l'attribution de pouvoirs d'administration � l'utilisateur "invit�", alors que le compte administrateur est suppos� �tre celui ayant le niveau de restrictions le plus �lev�. Microsoft a publi� un patch de s�curit� con�u pour s�curiser IIS contre la vuln�rabilit� transversale du dossier de serveur web. Il est disponible sur http://www.microsoft.com/technet/security/bulletin/ms00-078.asp. Microsoft a par ailleurs publi� un patch qui vous assure contre la vuln�rabilit� des ent�tes MIME incorrectes, t�l�chargeable depuis http://www.microsoft.com/technet/security/bulletin/MS01-020.asp . Pour plus d'informations pour prot�ger vos syst�mes contre Nimda, veuillez suivre ce lien : http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/ topics/Nimda.asp. Microsoft a publi� des correctifs contre ses failles dans ses produits � l'adresse suivante : http://www.microsoft.com/technet/itsolutions/security/current.asp. Routine La routine ajoute un compte "invit�" au groupe d'administrateur (en cons�quence, un compte "invit�" a un acc�s total � une machine infect�e). .. Le ver ouvre �galement tous les lecteurs locaux pour le partage de connexions. D�sinfections Manuelles du virus Kaspersky Antivirus recommande aux utilisateurs de prendre toutes les pr�cautions n�cessaires : 1. Faites une mise � jour de votre antivirus pour s'assurer que vous avez les d�finitions de virus les plus r�centes. 2. Mettre la s�curit� d�Internet Explorer � son niveau maximal. http://www.microsoft.com/downloads/search.asp?LangID=7&LangDIR=FR 3. Mettre � jour le serveur IIS. http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp pour Microsoft IIS 4.0 ttp://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp pour Microsoft IIS 5.0 4. S�assurer que l�option �Utiliser les dossiers classiques de Windows� plut�t que �Afficher le contenu web dans les dossiers� est choisie dans Windows Explorer (options Dossiers). Ceci va emp�cher les fichiers .eml infect�s de s�ex�cuter automatiquement juste en cliquant dessus. 5. Configurer Avp ou Kaspersky de telle mani�re qu'il scanne tous les fichiers de votre disque dur. Il suffit de cliquez sur l'onglet "Scanner disque dur locaux" 6. Ex�cutez le scanner pour contr�ler vos disques. 7. Si les fichiers LOAD.EXE et RICHED20.DLL sont d�tect�s et infect�s par W32.Nimda.A@mm demander lui de r�parer ces fichiers, si il n'y arrive pas, effacer les. 8. Relancez l'ordinateur. 9. R�p�tez les �tapes 1-6 ci-dessus jusqu'� ce qu'aucun fichier ne soit d�tect� comme W32.Nimda.A@mm. 10. Dans le fichier System.ini effacer la ligne de commande shell=explorer.exe load.exe -dontrunold 11. Effacez le compte invit� du groupe d'administrateurs comportant le nom Guest (si c'est appropri�). -------------------------------------------------------- Au besoin j'ai t�l�charg� un petit �radiqueur de ce virus (144 Ko zipp�) tr�s pratique. Si cela t'int�resse je peux te l'adresser. Patrice. .. et si internet vous voyait ? Abonnez-vous en septembre a chello et recevez une webcam ! >>> En savoir plus ? http://www.chello.be - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - CCTK vous est offert par Emakina <http://www.emakina.com> Pour vous desabonner <mailto:[EMAIL PROTECTED]>
