Computer Emergency Response Team - Industrie Services et Tertiaire Le CERT dédié à la communauté Industrie, Services et Tertiaire française
Accès membres english version [english version]
ACCUEIL PRESENTATION RESSOURCES CONTACTS FAQ RECHERCHER
Ver "Luder" sous la forme de cartes de voeux
Avis et Alertes publics
Articles du Cert-IST
Liens utiles
Presse - Evénements
Version imprimante
Accueil | Ressources | Avis et Alertes publics | Alertes

Référence : CERT-IST/AL-2007.001
Version : 1.0
Date de la version : 02 Janvier 2007

Classification de la vulnérabilité
Risque :
Elevé
Conséquence : Accès au système
Déni de service
Niveau de confiance : Faille officielle
Niveau de connaissance de l'attaquant : Débutant
Moyen nécessaire à l'attaquant : Accès distant (sans compte) sur un service standard

Information sur le(s) système(s) impacté(s)
Plate(s)-forme(s) impactée(s) :
  • Microsoft Windows 9x
  • Microsoft Windows Millennium Edition
  • Microsoft Windows NT
  • Microsoft Windows XP
  • Microsoft Windows 2000
Logiciel(s) impacté(s) :
  • NA
Liste des produits impactés

Description
Contexte de publication :
Cette alerte Cert-IST a été publiée initialement le dimanche 31/12/2006 aux abonnés du service "veille 7/7".
Nature du problème :
Ce week-end du Nouvel An, des variantes du ver "Luder" sont apparues de manière significative sur Internet. Ce ver classique de type "mass-mailer" se propage sous la forme d'une carte de voeux en anglais avec un fichier exécutable joint en attachement.

Une fois installé sur le système, le ver tente de se connecter à un site web (81.177.3.175) pour télécharger d'autres programmes malveillants ou de contacter le serveur 208.36.123.14 en SMTP (port 25). Le ver tente également de terminer des processus liés à des outils de sécurité (anti-virus, garde-barrière personnel) et d'infecter les fichiers exécutables du système.

Le Cert-IST a émis une alerte sur ce ver et ses variantes car :
  • sa propagation est importante (le Cert-IST a reçu des exemplaires de ce ver),
  • il a pu entrer dans les entreprises sans être détecté pendant le week-end (un test réalisé par le Cert-IST indiquait que 30% des anti-virus répertoriés par "www.virustotal.com" ne le détectaient pas dimanche matin),
  • aujourd'hui encore, il n'est pas toujours bien détecté par certains logiciels anti-virus.

Nota :
  • Ce ver est aussi appelé "Nuwar" (McAfee), "Nuwar.AY" (Trend Micro), "Dref-U"(Sophos), "Mixor.Q" (Symantec) selon les éditeurs.
  • La première version de ce ver (la "souche") est apparue le 29/12/2006.
Diagnostic :
Voici les caractéristiques visibles du ver "Luder" permettant de le détecter sur un système infecté :

 1°) E-mail : 
  •  Emetteur : Adresse e-mail usurpée


  •  Sujet :  Un sujet parmi les suivants :
    • Annual Fun Forecast!
    • Baby New Year!
    • Best Wishes For A Happy New Year!
    • Fun 2007!
    • Fun Filled New Year!
    • Happiness And Continued Success!
    • Happiness And Success!
    • Happiness In Everything!
    • Happy 2007!
    • Happy New Year!
    • Happy Times And Happy Memories!
    • May Your Dreams Come True!
    • New Hopes And New Beginnings!
    • New Year... Happy Year!
    • Promises Of Happy Times!
    • Raising A Toast To Happy Times!
    • Scale Greater Heights!
    • Sparkling Happiness And Good Times!
    • Warm New Year Hug!
    • Warmest Wishes For New Year!
    • Welcome 2007!
    • Wish You Smiles And Good Cheer!
    • Wishing You Happiness!
    • Wishing You Happy New Year!


  •  Corps :  [vide]


  •  Fichier attaché : Un nom de fichier parmi les suivants :
    • postcard.exe
    • Postcard.exe
    • greeting card.exe
    • Greeting Card.exe
    • greeting postcard.exe
    • Greeting Postcard.exe


 2°) Activité réseau : 
  •  Port(s) réseau ouvert(s) :  NA


  •  Site(s)/Serveur(s) contacté(s) : 
    • 81.177.3.175 (port 80)
    • 208.36.123.14 (port 25)


  •  Adresse(s) e-mail contactée(s) :  NA


 3°) Modifications du système : 
  •  Fichier(s) ajoutés : 
    • "%System%ppl.exe" (où %System% définit le répertoire "C:WindowsSystem" (Windows 95/98/Me), "C:WinntSystem32" (Windows NT/2000) ou "C:WindowsSystem32" (Windows XP))

  •  Clé(s) de Registre modifiée(s) ou ajoutée(s) : 
    • Valeur "agent"="%System%ppl.exe" ajoutée dans les clés :
      HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
      HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

    • Valeur "Start" = "4" modifiée dans la clé :
      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess

Solution

01 - Solution à l'infection du ver "Luder"

Mettre à jour votre outil d'anti-virus afin de prendre en compte le ver décrit :
  • Utiliser le mécanisme de mise à jour automatique de votre anti-virus.
  • Ou utiliser les indications données ci-dessous afin de mettre à jour manuellement votre anti-virus.

02 - Solutions palliatives concernant la propagation du ver "Luder"

  • Positionner des filtres sur les serveurs de messagerie afin d'intercepter les e-mails correspondants aux caractéristiques décrites dans la section "diagnostic".
  • Mettre à jour les signatures sur le détecteur d'intrusions (IDS) SNORT :
    • Signature sous licence (VRT) : SID 9425
    • Signature publique : (Cf le lien du SANS ci-dessous)
  • Vérifier l'état des PC nomades lors de leur retour sur le système d'information de l'entreprise.

Documentation additionnelle

Historique
Version Commentaire Date
1.0 Création de l'alerte 02 Janvier 2007

Copyright © 1999-2008 Cert-IST | Mentions légales | Plan du site