Worm.Win32_Toxbot

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 37888 Octet(s)

Détails techniques:

A l'exécution, les variantes de Toxbot se copient dans le dossier %System% sous des noms différents :

Netlib.exe
Netmon.exe


Le ver attribue à ces fichiers les fonctions "Lecture seule", "Fichier caché" et "Fichier système".

N.B. : Toxbot détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

Les variantes s'installent d'elles-mêmes en ajoutant les entrées de registre suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run


La valeur précisée dépend de la variante utilisée, exemple avec Netlib.exe :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Netlib = "%System%\Netlib.exe"

Chaque variante crée un mutex afin qu'il n'y ait qu'une seule copie du ver qui fonctionne en même temps, voici les noms de mutex selon la variante utilisée :

3286X64_-SH56-_56A_-_BG76-563426XF
NetmonMtx


Après l'installation, le plupart des variantes créent généralement un fichier batch dans le répertoire %Temp% et l'exécute pour retirer la copie originale.

N.B. : Le ver détermine l'emplacement du dossier temporaire de l'utilisateur en fonction du système d'exploitation. Généralement "C:\Documents and Settings\{nom_d'utilisateur}\Local Settings\Temp" ou "C:\WINDOWS\TEMP".

Ses variantes sont capables de se répandre de différentes façons. Leur propagation est lancée manuellement à l'aide de la prise de contrôle d'une porte-dérobée (backdoor). Mais chaque routine de distribution commence par un scanne de machines cibles. Le ver peut générer des valeurs aléatoires pour les adresses IP ciblées. Toutes les attaques sont concentrées sur le port TCP 445.

Toxbot peut infecter les ordinateurs distants à travers le système de partage de fichier Windows. Si le ver peut se connecter au port 445 des machines scannées, il tente une connexion avec le partage Windows :

\\{cible}\ipc$

N.B. : {cible} étant le nom de la machine visée.

Si une connexion s'établie, il tente de récupérer une liste de noms d'utilisateurs sur l'ordinateur de la victime, et utilise ses infos pour obtenir des accès au système. S'il ne peut pas accéder à cette liste, il se rabat sur une liste prédéfinie :

admin
sa
Admin
password
Password
ADMINISTRATOR
Administrator
administrator
Administrateur
Administratör
hallintovirkailijat
amministratore
Beheerder
Rendszergazda
null
"vide"


A chaque identifiant, Toxbot essaie de s'authentifier en utilisant des mots de passe stockés en "dur" dans le programme du ver (il s'agit généralement de la même liste que les noms d'utilisateurs).

En supposant que le ver ait pu s'identifier correctement, il va alors essayer d'accéder à divers endroits du disque dur :

\\{cible}\admin$
\\{cible}\c$
\\{cible}\print$
\\{cible}\c
\\{cible}\d$
\\{cible}\e$
\\{cible}\Admin$\system32
\\{cible}\c$\winnt\system32
\\{cible}\c$\windows\system32


Le ver planifie une tâche distante afin que le ver démarre sa copie sur l'ordinateur infecté. Il peut aussi créer un service sur la machine afin d'exécuter le ver.

Toxbot se répand également en utilisant des vulnérabilités liées à des logiciels, vous trouverez des liens relatifs à ces failles dans la section "Description > Référence additionnelle" de ce ver.

La porte-dérobée (backdoor) est contrôllée par IRC : Toxbot se connecte à un serveur IRC afin de joindre un canal, il attend les commandes données par un utilisateur. L'adresse du serveur IRC, son port, le canal et le mot de passe varient selon la variante utilisée.

Les fonctionnalités de la porte-dérobée (backdoor) sont multiples :

- Scanne d'autres systèmes pour les infecter
- Obtenir des informations sur la variante utilisée
- Obtenir des informations sur l'ordinateur (CPU, système d'exploitation, adresse IP, etc...)
- Lister et terminer les processus et threads en cours
- Télécharger des fichiers par HTTP
- lancer un proxy SOCKS




http://www.depannetonpc.net