SH/Renepo-A

Veuillez suivre les instructions de suppression des vers.

Le virus SH/Renepo-A peut se propager en utilisant n'importe quel nom de fichier, mais essaie toujours de se copier dans /SystemLibrary/StartupItems. Veillez à vérifier à cet emplacement les scripts non désirés ou malveillants.

Le virus SH/Renepo-A crée un répertoire nommé "/.info" dans lequel peuvent être recueillies des données cryptées et une configuration d'application. La présence de ce répertoire est à considérer comme suspecte.

Le virus SH/Renepo-A tente de créer un utilisateur de niveau administrateur nommé "LDAP-daemon" avec un mot de passe crypté "rQ3p5/hpOpvGE" et un ID utilisateur 401. La présence d'un tel compte est à considérer comme suspecte.

Etant donné que SH/Renepo-A apporte un grand nombre de changements à la sécurité du système, une analyse de la sécurité système doit être effectuée sur les ordinateurs compromis. Assurez-vous de réactiver tous les services désactivés par le virus, y compris la comptabilité, l'enregistrement, le pare-feu et les mises à jour automatiques. Recherchez également les fichiers et les répertoires avec les droits "777" (disponibles à tous en écriture), surtout /etc/hostconfig, /etc/xinetd.d/shh ainsi que les divers fichiers de données utilisés par cron.

Supposons que tous les mots de passe de votre réseau aient été compromis. SH/Renepo-A tente de capturer des données utilisateur, de configuration et de mots de passe pour un grand nombre d'applications, y compris les serveurs FTP, les serveurs Web, les navigateurs, VNC et le système d'exploitation lui-même.

SH/Renepo-A est un ver de procédure d'interpréteur de commandes ciblant la plate-forme Macintosh OS X. S'il est exécuté sur votre ordinateur (par accident ou volontairement), il se copie dans le répertoire de démarrage local (/System/Library/StartupItems) et sur tous les volumes montés, y compris les autres ordinateurs de votre réseau. SH/Renepo-A rend les dossiers StartupItems infectés disponibles à tous en écriture, ouvrant ainsi une porte dérobée dangereuse sur tout système qu'il infecte.SH/Renepo-A est un ver de procédure d'interpréteur de commandes visant la plate-forme Macintosh OS X. S'il est exécuté sur votre ordinateur (par accident ou volontairement), il se copie dans le répertoire de démarrage local (/System/Library/StartupItems) et sur tous les volumes montés, y compris les autres ordinateurs de votre réseau. SH/Renepo-A rend les dossiers StartupItems infectés disponibles à tous en écriture, ouvrant ainsi une porte dérobée dangereuse sur tout système qu'il infecte.

Notez que tout attaquant qui essaye d'injecter ce ver dans votre réseau doit tout d'abord avoir un accès root à l'une de vos boîtes, signifiant que vous seriez déjà "possédé". Par contre, SH/Renepo-A collecte dans un seul script une grande série d'attaques anti-sécurité. Une fois que le ver s'est exécuté sur votre ordinateur, il compromet la sécurité du système de plusieurs manières y compris :

• en désactivant le système de comptabilité et l'enregistrement
• en désactivant le pare-feu OS X
• en désactivant les mises à jour automatiques de logiciels
• en désactivant LittleSnitch (un programme de sécurité pour OS X)
• en activant le partage de fichiers
• en activant ssh
• en rendant des fichiers système clés disponibles en écriture à tous
• en installant ohphoneX (un programme de partage vocal et vidéo pour OS X)
• en installant John the Ripper (un programme de crackage de mots de passe)
• en installant dsniff (un renifleur de mots de passe)
• en enregistrant sur un serveur distant les numéros IP des ordinateurs infectés
• en créant un répertoire dans lequel stocker des données collectées (/.info)
• en capturant des données application, utilisateur et système
• en collectant des codes de mot de passe depuis samba
• en cherchant des informations de mot de passe VNC
• en allant à la pêche aux mots de passe dans le fichier d'échange
• en créant un nouvel utilisateur au niveau administrateur (LDAP-daemon)