Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Lorsqu'il est exécuté, Fuwudoor copie dans le répertoire %System% un ou plusieurs des fichiers suivants :
ipsec.dll
appmgmt.dll
browsvr.dll
trkw.dll
trks.dll
kdc.dll
dmsrv.dll
mesg.dll
netlogin.dll
protstrg.dll
lmhosts.dll
w32t.dll
ntms.dll
Note: '%System%' est une variable de localisation. Fuwudoor détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.
Il enregistre ensuite les fichiers .DLL déposés en tant que service ayant les caractéristiques suivantes :
Nom d'affichage: ProtectedStorage
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k ProtectedStorage
Nom d'affichage: Messenger
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k Messenger
Nom d'affichage: Policy Agent
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k Policy Agent
Nom d'affichage: AppMgmt
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k AppMgmt
Nom d'affichage: Browser
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k Browser
Nom d'affichage: TrkWks
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k TrkWks
Nom d'affichage: TrkSvr
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k TrkSvr
Nom d'affichage: kdc
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k kdc
Nom d'affichage: dmserver
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k dmserver
Nom d'affichage: NetLogon
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k NetLogon
Nom d'affichage: LmHosts
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k LmHosts
Nom d'affichage: W32Time
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k W32Time
Nom d'affichage: ntmssvc
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k ntmssvc
Note: %Windir% est une variable qui se réfère au répertoire d'installation de Windows. Par défaut cette variable est soit "C:\Windows", soit "C:\Winnt".
Fuwudoor ajoute ensuite les entrées suivantes dans la base de registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntmssvc\Parameters
"ServiceDll" = "%Windir%\system32\ntms.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
"ServiceDll" = "%Windir%\system32\w32t.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LmHosts\Parameters
"ServiceDll" = "%Windir%\system32\lmhosts.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
"ServiceDll" = "%Windir%\system32\netlogin.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters
"ServiceDll" = "%Windir%\system32\dmsrv.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kdc\Parameters
"ServiceDll" = "%Windir%\system32\kdc.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrkSvr\Parameters
"ServiceDll" = "%Windir%\system32\trks.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrkWks\Parameters
"ServiceDll" = "%Windir%\system32\trkw.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters
"ServiceDll" = "%Windir%\system32\browsvr.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters
"ServiceDll" = "%Windir%\system32\appmgmt.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters
"ServiceDll" = "%Windir%\system32\ipsec.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters
"ServiceDll" = "%Windir%\system32\mesg.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProtectedStorage\Parameters
"ServiceDll" = "%Windir%\system32\protstrg.dll"
Ensuite Fuwudoor crée le fichier de pilote suivant afin de cacher les activités de la porte dérobée sur le réseau :
%System%\Drivers\usb2.sys
Puis il l'ajoute à la base de registre :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\usb2
"ImagePath" = "system32\Drivers\usb2.sys"
Fuwudoor tente également de contacter un serveur localisé sur le domaine winupdate.myserver.com.
Enfin, Fuwudoor ouvre une porte dérobée sur la machine infectée permettant à un utilisateur distant d'effectuer plusieurs opérations pour compromettre le système.