| N'ouvrez
jamais les emails non signés ou sans texte...
même s'ils semblent venir de qq1
que vous connaissez bien....
surtouts
les pieces jointes qui les accompagnent.
des
virus circulent....  soyez
vigilants.
notamment supprimez les
messages venant tout specialement de "babakoto" :babakoto@chello.fr
et supprimez cette adresse de vos carnets.
|
QUESTION
VIRUS
Information virus CodeRed
Information sur le virus
Code Red (I et II)
Lundi 06 Août 2001
"Code Red" n'est pas un virus -
à proprement parler - courant car il ne s'attaque qu'aux serveurs Windows NT4
et Windows 2000 équipés du module serveur web de Microsoft plus connu sous le
nom d'I.I.S (Internet Information Server) via Index Server.
Il ne doit donc pas être craint des possesseurs de PC "traditionnels"
mais les administrateurs de serveurs web I.I.S. doivent être très vigilents.
"Code Red" s'attaque à une brêche du système Index Server utilisé
généralement pour indexer rapidemment des informations HTML, ASP, DOC, XLS et
autres au sein d'un serveur. Une fois en place, le virus attaque de la même
manière un autre serveur IIS au hasard (même classe IP).
"Code Red" n'utilise - et c'est une première pour un virus - aucun
fichier pour se développer. S'infiltrant directement sous la forme d'une URL au
sein d'un système IIS-Index Server, il se loge en RAM (mémoire vive) et se
duplique en infectant un autre serveur IIS. Il se contente ensuite d'afficher un
message "Welcome to www.worm.com - Hacked by Chinese !"
Ce message sera affiché durant 10 heures à la suite desquelles le contenu
habituel du site sera rétabli.
Toutefois, entre le 20 et le 28 de chaque mois, "Code Red" lancera des
attaques "DDoS" (Denial Of Service - Refus de Service) vers le site de
la Maison Blanche (http://www.whitehouse.gov). Tous les serveurs infectés
lanceront donc ces attaques en même temps, ce qui "plantera" le site
du Président Américain.
Du fait que "Code Red" n'utilise aucun fichier mais préfère se loger
en mémoire RAM, un simple reboot d'un serveur infecté suffit à éliminer le
virus. Toutefois il n'est pas protégé pour autant. Microsoft met à
disposition sur son site web un patch à appliquer pour combler la brêche de
son logiciel :
http://www.microsoft.com/technet/security/bulletin/ms01-033.asp
Pour mémoire, les attaques de type DDoS sont celles qui firent
"planter" les sites de Yahoo et CNN en début d'année 2001.
D'innombrables requêtes (demande d'affichage) arrivant sur un même serveur web
simultanément surchargent celui-ci. Il résulte généralement que le serveur
sature et ne permette plus aucun accès, même à ses visiteurs
"traditionnels".
«Code Red II» est une variante de «Code Red»
Cette variante ne s'en prend toujours pas aux utilisateurs de PC
"traditionnels" mais uniquement aux serveurs web tournant sous Windows
NT4 ou Windows 2000 et IIS (Internet Information Server). Cette alerte s'adresse
donc aux administrateurs de tels serveurs.
«Code Red II» utilise le même trou de sécurité que son prédécesseur (dû
au module Index Server d'IIS) mais permet cette fois-ci à un pirate de prende
le contrôle à distance du serveur infecté.
Une fois qu'il s'est introduit dans un serveur, le virus va chercher tout
d'abord à infecter d'autres serveurs au hasard (on pense toutefois qu'il scanne
la même classe IP que celle du serveur où il se trouve). Cette phase dure de
24 à 48 heures et le système est ensuite rebooté.
«Code Red II» introduit un cheval de troie dans explorer.exe permettant
de prendre le contrôle à distance du système infecté puis recopie l'interpréteur
de commande cmd.exe dans '\inetpub\scripts\' and to '\progra~1\common~1\system\MSADC\'
sous le nom root.exe. Cette copie a lieu sur le disque C: et D: (si ce
dernier existe). Elle permettra au pirate de faire exécuter n'importe quelle
commande au serveur (un LS par exemple).
Le cheval de troie va, quant à lui, désactiver le System File Checker vérifiant
l'intégrité des fichiers du système. Ainsi si les copies de cmd.exe réalisées
par le virus sont supprimées, le serveur reste potentiellement instable.
Par la suite, deux nouveaux répertoires racine ("Virtual Root") sont
ajoutés dans la configuration d'IIS :
/c pointant vers c:\
/d pointant vers d:\
Dans le registre, sous la racine HKEY_LOCAL_MACHINE sont modifiées les clés
suivantes :
'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable'
positionnée à 0xffffff9d pour désactiver la fonction System File Checker.
L'entrée ",217" est ajouté aux clés suivantes :
'SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\Scripts'
'SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\MSADC'
Ces clés rendent accessibles les racines des disques C: et D: via le serveur
web IIS :
'SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\C'
'SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\D'
Pour supprimer le virus
1) Appliquez les deux patches suivants téléchargeables
depuis le site de Microsoft :
http://www.microsoft.com/technet/security/bulletin/ms01-033.asp
http://www.microsoft.com/technet/security/bulletin/MS00-052.asp
Les deux patches doivent être appliqués. Le premier supprime le trou de sécurité
d'Index Server (valable également pour «Code Red»). Le second fait en sorte
que Windows ne puisse pas utiliser la version "troyenne" d'explorer.exe
située dans le répertoire de l'OS.
2) Rebootez le serveur. Le virus étant logé
en RAM, ce reboot est indispensable.
3) Supprimez les fichier suivants :
'\inetpub\scripts\root.exe"
"\progra~1\common~1\system\MSADC\root.exe"
"\explorer.exe"
4) Supprimez les clés suivantes de la racine
HKEY_LOCAL_MACHINE :
'SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\C'
'SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\D'
5) Supprimez l'entrée ",217" des clés
suivantes :
'SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\Scripts'
'SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\MSADC'
Message de la Comm'
(NewsLetter ARF du 2 septembre 2001)
Sommaire