Trojans/fr

From distributed.net
Jump to: navigation, search

Chevaux de Troie, Vers et Virus

De temps à autres, certaines personnes peu scrupuleuses pensent que, pour le bien de l’Internet, tous les ordinateurs devraient faire tourner des clients distributed.net, même sans l’accord de leurs propriétaires ou de leurs administrateurs. distributed.net réprouve ces pratiques et traque activement ces personnes. De telles méthodes non-authorisées qui visent à déployer notre logiciel sur des ordinateurs vont très clairement à l'encontre de notre politique d'utilisation et de notre mission.

Actuellement, plusieurs chevaux de Troie répertoriés circulent sur Internet. Beaucoup de la puissance récente de variantes la franchise et la connectivité de l'Internet à rechercher activement ont faiblement protégé les ordinateurs qui peuvent être à distance infectés. En raison de cette nouvelle méthode d'infection, des ordinateurs peuvent être infectés sans utilisateur exécutant explicitement un programme infecté par le themself. Ces ordinateurs (spécifiquement machines de Win9x) sont infectés pas en raison d'une faiblesse spécifique de logiciel d'exploitation, mais en raison d'une erreur commune explicitement faite par l'utilisateur pour partager leur entier dur-conduisent avec complètement écrivent l'accès à quiconque. C'est rudement équivalent à laisser votre porte avant complètement débloquée.

Notez que la présence des fichiers DNETC.EXE et DNETC.INI (mais avec une autre adresse email) sur une machine peut tout à fait résulter de l'installation légitime et autorisée de notre logiciel par l'administrateur de la machine qui l'aurait fait sciemment. Ainsi, gardez-vous de supprimer hâtivement toutes les instances de ces fichiers si vous étiez ammené à les trouver sur la machine.

Comment désinfecter et protéger votre ordinateur

De nombreuses précautions peuvent être prises par les utilisateurs afin de maintenir leurs machines à l'écart d'un risque d'infection. Puisque nombre des dernières variantes de ver informatique se reproduisent en se copiant sur des dossiers partagés en accès écriture, les utilisateurs devraient éviter à tout prix de laisser leurs dossiers en partage sauf si cela s'avère vraiment indispensable. Partagez uniquement vos dossiers en accès en lecture seule et évitez de laisser vos dossiers en accès total, ce qui permet aux autres de modifier ou supprimer vos fichiers. De plus, si un dossier est partagé, vous devriez vous assurer que vous partagez uniquement le dossier nécessaire et non pas le disque dur en entier ou une arborescence entière.

Variantes connues

  1. [septembre 2000] Un ver sous forme d'EXE (connu sous les noms W32/Msinit, Trojan.Win32.Bymer, W32.HLLW.Bymer, Dnet.Dropper) qui infecte les machines Win9x ayant des partages ouverts en accès total a été découvert. Ce ver se propage en sélectionnant au hasard une adresse IP arbitraire et en essayant de se connecter au répertoire en partage "C" de la machine correspondante. S'il arrive à accéder a ce dossier partagé, il copiera plusieurs fichiers dans les répertoires "\WINDOWS\Start Menu\Programs\StartUp\" et "\WINDOWS\SYSTEM\" de la machine distante:

    • MSxxx.EXE ~22016 octets (la taille et le nom de fichier peuvent varier légèrement)
    • MSCLIENT.EXE 4096 octets
    • INFO.DLL (fichier journal texte comptenant le liste des autres ordinateurs infectés)
    • DNETC.EXE 186188 octets (version officielle v2.8010-463-CTR-00071214)
    • DNETC.INI (contenant l'adresse email bymer@inec.kiev.ua ou bymer@ukrpost.net)

    Notez bien que le fichier MSxxx.EXE variera légèrement et conportera les premiers chiffres de l'adresse IP de votre machine ainsi que de quelques éventuels autres caractères. Par exemple, les noms de fichier suivants ont été rencontrés: MS216.EXE, MSI216.EXE, MSI211.EXE. La taille du fichier peut également varier légèrement mais reste aux alentours de 22Ko.

    Par ailleurs, au cours du processus d'infection, la ligne suivante peut avoir été ajoutée dans le fichier \WINDOWS\WIN.INI file de la machine distante: load=c:\windows\system\msxxx.exe (le nom de fichier peut varier).

    Lorsqu'un des deux premiers EXEs a été exécuté une fois, sous la clé de registre HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\, la valeur de registre suivante a pu être ajoutée: MSINIT=c:\windows\system\msxxx.exe (le nom de fichier peut varier).

    Puisque le ver exécute également la commande "dnetc.exe -hide -install", il y aura aussi l'ajout d'une autre valeur dans le registre afin de démarrer automatiquement le client. Notez que l'existence d'une autre valeur dans le registre ne signifie pas en soi automatiquement qu'un ver a installé notre logiciel de façon illicite. En effet, l'administrateur de la machine aurait très bien pu avoir installé notre logiciel auparavant et de manière tout à fait légitime.

  2. [octobre 2000] Un ver EXE a été découvert. Il se réplique en utilisant les même techniques que celles décrites ci-dessus à ce détail près qu'il installe un fichier appellé WININIT.EXE d'une taille d'environ 220Ko dans le répertoire WINDOWS\SYSTEM. Nous ne savons pas si ce ver comporte également un système de contrôle à distance via une backdoor, cependant, la taille de sa charge utile et son utilisation d'APIs de sockets réseau ne l'exclu pas. Les fichiers DNETC.EXE et DNETC.INI sont aussi déployés dans le répertoire WINDOWS\SYSTEM, et le client est configuré pour fonctionner sous les adresses email ogr@gala.net, mereel@gmx.de, mama@papa.net, gentleps@muohio.edu ou postmaster@127.0.0.1
    • notez que InnoculateIt peut détecter ce ver de façon incorrecte en l'identifiant au ver Win32.Bymer
  3. [août 2000] Un autre ver EXE (connu sous le nom de W32.HLLW.QAZ.A, QAZ.Trojan, Trojan/Notepad, note.com) se réplique en renommant votre fichier Windows NOTEPAD.EXE en NOTE.COM et en replaçant le fichier original par un cheval de troie qui peut s'exécuter. Une fois qu'il est exécuté, il essayera de se dupliquer sur d'autres ordinateurs appartenant à votre Voisinage Réseau Windows. Ce ver possède la faculté de permettre à des tiers de contrôler votre machine à distance et de donner aux hackers un accès direct à n'importe quel fichier auquel votre machine à accès. Certaines variantes de ce ver installent simultanément des copies du client dnetc.exe de distributed.net.
  4. [avril 2000] Deux versions du ver VBS.Network ou VBS.NetLog distribuent les versions 2.8005.455 ou 2.8007.45X du client dnetc.exe qui figurent dans leur charge utile. Ce virus/ver peut être identifié par la présence de "network.vbs" et "microsoft_office.lnk" dans le groupe Démarrage de Windows, et de "network.log" dans la racine du disque c:\. Une copie de dnetc.exe et de dnetc.ini sont placés dans le répertoire c:\windows\ avec une des adresses email suivantes: bl4ckr0d@hotmail.com, jdefoe@linuxstart.com ou nugget@slacker.com.

    Ce ver se réplique en se connectant aléatoirement vers une adresse IP arbitraire et en essayant d'ouvrir un dossier en partage intitulé "C". Si le ver arrive à ouvrir ce partage, il essaie d'y copier les fichiers infectés directement dans le groupe Démarrage. Les utilisateurs peuvent se protéger contre ce type de ver en s'assurant qu'ils ne partagent pas leur disque dur C: en accès total sans mot de passe.
  5. [juin 2000] Un thème de bureau LiteStep qui ressemble au style du thème StarCraft "Zerg" a été distribué sous le nom "installtheme.exe" sur certains sites web. Lorsque ce thème qui s'auto installe est installé, il installe simultanément une copie du client distributed.net.
  6. [mai 1998] Une rumeur parle d’un autre cheval de Troie sur Usenet, dans le groupe consacré aux X-files. Il se déguisait sous la forme d’un puzzle d’une image de Gillian Anderson, qui installait les fichiers rc5desg.exe et ini. Ce cheval de Troie a été posté deux fois, une fois en mai 1998, une autre fois en juin 1998. Ce n'est qu'une rumeur car il ne nous a pas été possible de le vérifier à cause de l’age du message dans le forum.
  7. [décembre 1997] Il est aussi connu que la version 2.6403 du logiciel client win32gui a circulé compressée au format ZIP sous le nom de ipspoof.zip, contenant les fichiers ipspoof.dat, ipspoof.dll, ipspoof.exe, et readme!.txt. L’exécution de cet installateur copie le logiciel client dans le répertoire \windows\system\rc564gui.exe et paramètre le client pour démarrer automatiquement en mode caché et comptabiliser les blocs au profit de l'utilisateur fbicrasher@hotmail.com. Cette version semble avoir été distribuée sous cette forme-là à partir de décembre 1997.
  8. Un dénommé "mycollection.exe". C’est supposé être un lecteur d'images comportant des images à caractère pornographique. Il a été distribué automatiquement par un robot sur IRC via dcc lors de la connection sur certains canaux IRC. Ce cheval de Troie est un programme qui installe les fichiers rc5desg.exe et ini dans le dossier système de windows, les cache et les lance.
  9. Un autre cheval de Troie s’appelle cindyply.zip. Il est plus dangereux que mycollection.exe car en plus, il installe Back Orifice avec le plug- in Butt Trumpet sur votre ordinateur. Il a été distribué dans les forums de binaires sur Usenet comme collection de fichiers et lecteur AVI.

Sanctions

Tous les coupables ont été radiés de leurs équipes, radiés des statistiques, leurs mots de passe modifiés et ne peuvent plus gagner un quelconque prix. Le mot de passe de leurs équipes ont aussi été modifiés et les chefs d’équipes notifiés.

Si le responsable de l’équipe peut prouver que cela s’est fait à son insu, l’équipe est maintenue mais tous les blocs comptabilisés à l’adresse fautive sont retirés des totaux de l’équipe.

Si vous avez des informations sur l’un de ces cas ou si vous pensez avoir été victime de ces chevaux de Troie, vers et virus, écrivez à abuse@distributed.net et nous nous pencherons sur votre cas au plus vite.