_Fuwudoor

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, Fuwudoor copie dans le répertoire %System% un ou plusieurs des fichiers suivants :

ipsec.dll
appmgmt.dll
browsvr.dll
trkw.dll
trks.dll
kdc.dll
dmsrv.dll
mesg.dll
netlogin.dll
protstrg.dll
lmhosts.dll
w32t.dll
ntms.dll


Note: '%System%' est une variable de localisation. Fuwudoor détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

Il enregistre ensuite les fichiers .DLL déposés en tant que service ayant les caractéristiques suivantes :

Nom d'affichage: ProtectedStorage
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k ProtectedStorage

Nom d'affichage: Messenger
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k Messenger

Nom d'affichage: Policy Agent
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k Policy Agent

Nom d'affichage: AppMgmt
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k AppMgmt

Nom d'affichage: Browser
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k Browser

Nom d'affichage: TrkWks
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k TrkWks

Nom d'affichage: TrkSvr
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k TrkSvr

Nom d'affichage: kdc
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k kdc

Nom d'affichage: dmserver
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k dmserver

Nom d'affichage: NetLogon
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k NetLogon

Nom d'affichage: LmHosts
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k LmHosts

Nom d'affichage: W32Time
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k W32Time

Nom d'affichage: ntmssvc
Emplacement de l'exécutable: %Windir%\system32\svchost.exe -k ntmssvc


Note: %Windir% est une variable qui se réfère au répertoire d'installation de Windows. Par défaut cette variable est soit "C:\Windows", soit "C:\Winnt".

Fuwudoor ajoute ensuite les entrées suivantes dans la base de registre :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntmssvc\Parameters
"ServiceDll" = "%Windir%\system32\ntms.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
"ServiceDll" = "%Windir%\system32\w32t.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LmHosts\Parameters
"ServiceDll" = "%Windir%\system32\lmhosts.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
"ServiceDll" = "%Windir%\system32\netlogin.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters
"ServiceDll" = "%Windir%\system32\dmsrv.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kdc\Parameters
"ServiceDll" = "%Windir%\system32\kdc.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrkSvr\Parameters
"ServiceDll" = "%Windir%\system32\trks.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrkWks\Parameters
"ServiceDll" = "%Windir%\system32\trkw.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters
"ServiceDll" = "%Windir%\system32\browsvr.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters
"ServiceDll" = "%Windir%\system32\appmgmt.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters
"ServiceDll" = "%Windir%\system32\ipsec.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters
"ServiceDll" = "%Windir%\system32\mesg.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProtectedStorage\Parameters
"ServiceDll" = "%Windir%\system32\protstrg.dll"


Ensuite Fuwudoor crée le fichier de pilote suivant afin de cacher les activités de la porte dérobée sur le réseau :

%System%\Drivers\usb2.sys

Puis il l'ajoute à la base de registre :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\usb2
"ImagePath" = "system32\Drivers\usb2.sys"


Fuwudoor tente également de contacter un serveur localisé sur le domaine winupdate.myserver.com.

Enfin, Fuwudoor ouvre une porte dérobée sur la machine infectée permettant à un utilisateur distant d'effectuer plusieurs opérations pour compromettre le système.




http://www.zebulon.fr/