W32/Nachi-E

Veuillez suivre les instructions de suppression des vers.

W32/Nachi-E est un ver qui se propage sur les ordinateurs à des adresses IP aléatoires qui sont infectées par W32/MyDoom-A ou sont vulnérables aux failles Microsoft de dépassement de capacité de la mémoire tampon suivantes : DCOM RPC, WebDAV, IIS5/WEBDAV et Locator Service.

Pour plus d'informations, consultez les bulletins de sécurité MS03-026, MS03-007 et MS03-049 de Microsoft.

Le ver se connecte à des adresses IP aléatoires sur le port 135 ou 445 et exploite ces vulnérabilités pour exécuter une petite quantité de code sur des ordinateurs sur lequels le correctif approprié n'a pas été appliqué. Le code de dépassement de capacité de la mémoire tampon télécharge le ver et l'exécute. Le ver autorise son propre téléchargement via un port aléatoire supérieur à 1024.

Le ver se propage sur des ordinateurs à des adresses IP aléatoires infectées par W32/MyDoom-A via un composant de porte dérobée installé par W32/MyDoom-A, qui fournit l'accès au port 3127.

Lorsqu'il est exécuté pour la première fois, le ver se copie dans <system>\drivers\svchost.exe et crée un nouveau service nommé WksPatch avec le Type de démarrage paramétré sur Automatic, de manière à ce que le service soit automatiquement exécuté à chaque démarrage de Windows.

Le nom affiché du nouveau service est créé en combinant aléatoirement un terme de chacune des 3 listes suivantes :

"System", "Security", "Remote", "Routing", "Performance", "Network", "License" ou "Internet"

"logging", "Manager", "Procedure", "Accounts" ou "Event"

"provider", "sharing", "Messaging" ou "Client"

Par exemple : "System logging provider".

La description du service est prise par le ver depuis soit le service Browser soit le service MSDTC. Le ver essaie de désactiver les programmes malveillants connus sélectionnés en supprimant des fichiers dans le dossier système Windows nommés intrenat.exe, Regedit.exe, shimgapi.dll, cftmon.dll, Explorer.exe ou TaskMon.exe et en supprimant les entrées suivantes du registre (si elles existent) :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Gremlin HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Nerocheck HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Taskmon HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Taskmon HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Shimgapi.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Explorer

Le ver supprime un service nommé RpcPatch (s'il existe) et crée l'entrée suivante du registre si elle n'existe pas déjà :

HKCR\CLSID(E6FB5E20-DE35-11CF-9C87-00AA005127ED)\InProcServer32 = "%SystemRoot%\System32\webcheck.dll"

Si l'entrée ci-dessus n'est pas déjà paramétrée, le ver crée une nouvelle version "saine" du fichier HOSTS situé dans <system>\drivers\etc\hosts. Le nouveau fichier HOSTS contient simplement une entrée pour localhost paramétrée à l'adresse de bouclage 127.0.0.1.

W32/Nachi-E tente de déformer un site Web en remplaçant tous les fichiers portant les extensions ASP, HTM, HTML, PHP, CGI, STM, SHTM et SHTML trouvés à la racine et tous les dossiers d'aide d'une installation Microsoft IIS par une page HTML contenant la chaîne de caractères 'LET HISTORY TELL FUTURE!'.

Le ver peut aussi essayer de télécharger et d'installer les Service Packs pour Windows 2000 et Windows XP, s'ils n'ont pas encore été installés :

http://download.microsoft.com/download/4/d/3/ 4d375d48-04c7-411f-959b-3467c5ef1e9a/WindowsXP-KB828035-x86-CHS.exe

http://download.microsoft.com/download/a/4/3/ a43ea017-9abd-4d28-a736-2c17dd4d7e59/WindowsXP-KB828035-x86-KOR.exe

http://download.microsoft.com/download/e/a/e/ eaea4109-0870-4dd3-88e0-a34035dc181a/WindowsXP-KB828035-x86-ENU.exe

http://download.microsoft.com/download/9/c/5/ 9c579720-63e9-478a-bdcb-70087ccad56c/Windows2000-KB828749-x86-CHS.exe

http://download.microsoft.com/download/0/8/4/ 084be8b7-e000-4847-979c-c26de0929513/Windows2000-KB828749-x86-KOR.exe

http://download.microsoft.com/download/3/c/6/ 3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9/Windows2000-KB828749-x86-ENU.exe

Lorsque le ver s'exécutera après juillet 2004, il se supprimera lui-même de l'ordinateur.