Computer Emergency Response Team - Industrie Services et Tertiaire



			Avis et Alertes publics

			Articles du Cert-IST

			Liens utiles

			Presse - Evénements







		Version imprimante

Accueil | Ressources | Avis et Alertes publics | Avis de sécurité

Ver "Kerbot" sur les systèmes Microsoft Windows

Référence :	CERT-IST/AV-2008.467
Version :	1.1
Date de la version :	07 novembre 2008

Classification de la vulnérabilité

Risque :

Très élevé

Conséquence :

Prise de contrôle du système

Catégorie de la vulnérabilité :

Ver

Niveau de confiance :

Faille officielle

Niveau de connaissance de l'attaquant :

Débutant

Moyen nécessaire à l'attaquant :

Accès distant (sans compte) sur un service standard

Information sur le(s) système(s) impacté(s)

Plate(s)-forme(s) impactée(s) :

Microsoft Windows 9x
Microsoft Windows Millennium Edition
Microsoft Windows NT
Microsoft Windows XP
Microsoft Windows 2000
Microsoft Windows Vista
Microsoft Windows Server 2003

Logiciel(s) impacté(s) :

Description

Nature du problème :

"Kerbot" est un ver informatique qui se propage :

via les réseaux de partage de fichiers de type "Peer-to-Peer",
via les réseaux locaux des machines infectées, en exploitant la vulnérabilité RPC du service "Serveur" des systèmes Microsoft Windows, décrite dans l'avis CERT-IST/AV-2008.460.

"Kerbot" abaisse le niveau de sécurité des systèmes qu'il infecte et ouvre une porte dérobée sur ces derniers.

Nota : "Kerbot" est aussi connu sous le nom "Kernelbot".

Analyse détaillée :

En plus du comportement général donné précédemment, sur les systèmes qu'il infecte "Kerbot" :

arrête des processus,
désactive le lancement automatique de certains processus au démarrage du système,
s'enregistre en tant que service Windows,
télécharge et installe le client eMule,
modifie le fichier "hosts" afin d'empêcher la connexion à certains sites web.

Diagnostic :

Voici les caractéristiques visibles du ver "Kerbot" permettant de le détecter sur un système infecté :

1°) Activité réseau :

Port(s) réseau ouvert(s) : NA

Site(s)/Serveur(s) contacté(s) :
- [http://]121.10.114.10
- [http://]121.10.114.222
- [http://]freegoogla.vicp.net
- [http://]zz.ushealthmart.com
- [http://]st.ushealthmart.com

Adresse(s) e-mail contactée(s) : NA

2°) Modifications du système :

Fichier(s) ajoutés :
- %System%\compbatc.sys
- %System%\compbatc.zip
- %System%\compbatc.exe
- %System%\compbatc.dll
- %System%\compbatc.ocx
- %System%\compbatc.ini

Clé(s) de Registre modifiée(s) :
- HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\"UDiskAccess" = "0"
- HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\"ExecAccess" = "0"
- HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\"IEProtAccess" = "0"
- HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\"LeakAccess" = "0"
- HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\"MonAccess" = "0"
- HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\"SiteAccess" = "0"

Clé(s) de Registre ajoutée(s) :
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\compbatc
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\compbatcDrv
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[8 NUMBERS]

Clé(s) de Registre suprimée(s) :
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"360Safetray"
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"360Safebox"
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"360Antiarp"
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"runeip"
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Iparmor"
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

Solution

Solution à l'infection du ver "Kerbot"

Mettre à jour votre outil d'anti-virus afin de prendre en compte le ver décrit :

Utiliser le mécanisme de mise à jour automatique de votre anti-virus.
Ou utiliser les indications données ci-dessous afin de mettre à jour manuellement votre anti-virus.

Mise à jour de l'éditeur TrendMicro - fichier de signature 5.637.00 ou supérieur
- http://www.trendmicro.com/ftp/products/pattern/lpt637.zip
- http://www.trendmicro.com/ftp/products/pattern/lpt637.tar

Mise à jour de l'éditeur Symantec - outils "Intelligent Updater" (lien ci-dessous) et "LiveUpdate" mise à jour du 05/11/2008
- http://securityresponse.symantec.com/avcenter/defs.download.html

Mise à jour de l'éditeur Sophos - fichier fournissant la signature du ver
- http://www.sophos.com/downloads/ide/435_ides.zip

Mise à jour de l'éditeur NAI - fichier DAT 5423 du 03/11/2008 ou utiliser les mises à jour suivantes
- http://download.nai.com/products/mcafee-avert/daily_dats/DAILYDAT.ZIP
- http://download.nai.com/products/mcafee-avert/daily_dats/SDATDAILY.EXE

Mises à jour de l'éditeur Computer Associates
- http://www3.ca.com/support/vicdownload/

Identifiant(s) du problème

CVE: CVE-2008-4250

Documentation additionnelle

Document de Sophos concernant le ver "Kerbot"
- http://www.sophos.com/security/analyses/viruses-and-spyware/trojkerbota.html
Document de CA concernant le ver "Kerbot"
- http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=75435
Document de NAI concernant le ver "Kerbot"
- http://vil.nai.com/vil/content/v_152820.htm
Document de Symantec concernant le ver "Kerbot"
- http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-110315-4059-99
Document de TrendMicro concernant le ver "Kerbot"
- http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_KERBOT.A

Historique

Version

Commentaire

Date

1.1

Signatures de Computer Associates

07 novembre 2008

1.0

Création de l'avis

05 novembre 2008



Copyright © 1999-2012 Cert-IST \| Mentions légales \| Plan du site