trojan.virtualroot
  • Résumé : trojan.virtualroot - comment se débarrasser de ce backdoor qui permet à un hacker de prendre le contrôle total d'un serveur IIS.
  
  • Mots-clés : trojan virtualroot, trojan.virtualroot, trojanvirtualroot, trojan virtual root, trojan.virtual.root, code red, codered, codered I, codered II, codered F, codered.I, codered.II, codered.F, W32/Bady, I-Worm.Bady, Code Red, CodeRed, W32/Bady.worm, worm, vers, virus, backdoor, serveur, server, hacker, pirate, IIS, W2000, windows 2000, microsoft, net, web

trojan.virtualroot
 





Trojan.VirtualRoot

Trojan.VirtualRoot est la charge utile lachée lors d'une attaque CodeRed II (variante CodeRed.F) ciblant les machines W2000, NT ou XP Beta avec serveur Microsoft IIS. Faille également signalée avec Microsoft Front Page à tort, la partie serveur IIS étant en cause.

Le vers CodeRed Worm fut découvert le 16 juillet 2001, la variante CodeRed II fut découverte le 4 août 2001 et sa variante CodeRed.F le 11 mars 2003. Si les correctifs proposés par Microsoft étaient appliqués, ce vers ne pourraient plus se propager.

Le vers CodeRed II agit en cheval de Troie et lache une charge utile qui est un backdoor écoutant sur le port 80 et identifié sous le nom de Trojan.VirtualRoot (VirtualRoot étant une clé de registre de Windows que ce vers modifie pour assoir la virulence du trojan). Cette charge utile dort apparemment 48 heures sur les systèmes chinois et 24 heures sur les autres systèmes avant de s'activer. Elle permet alors à un hacker de prendre le contrôle total du serveur.



CodeRed II et Trojan.VirtualRoot doivent être éradiqués simultanément.



Comment il arrive :
Le vers CodeRed.F scanne au hasard des adresses IP à la recherche d'une vulnérabilité non patchée de type Buffer Overflow (débordement de tampon) dans les machines serveurs à base de produits Microsoft IIS Web Server 4.0 et 5.0 et exécutant Microsoft Index 2.0 ou le service d'indexation Windows 2000. Il se copie alors en mémoire et génère des fichiers (contrairement à CodeRed Worm, la première version de CodeRed, qui ne s'installait qu'en mémoire) et sa première démarche est alors de créer immédiatement des thread qui partent à la recherche d'autres cibles à infester (600 thread sur les machines chinoises, 300 sinon). Il lâche également une partie de son code, sa charge utile, compressée et qu'il décompresse, qui est un backdoor identifié sous le nom de Trojan.VirtualRoot, permettant à un pirate de prendre le contrôle total, à distance, du serveur. CodeRed.F se comporte donc, également, en Cheval de Troie.
Remarque : c'est un défaut d'application des correctifs aux failles de sécurité qui permet à CodeRed de pénétrer une machine.



Comment il agit :
Le trojan écoute sur le port 80 qu'il n'est pas question de fermer sauf à fermer le serveur. CodeRed a été mis en cause à tort dans des attaques de type DOS. En lui même, il ne fait que lâcher sa charge utile et se répliquer (avec un problème de reboot des serveurs avant la variante F). Par contre la prise de contrôle du serveur par un hacker permet, dans un second temps, d'installer les outils qui serviront à lancer, par exemple, une attaque de type DOS. Toutefois la première version de CodeRed (CodeRed Worm) lancait une attaque de type DOS si le jour du mois était entre le 20 et le 28, sur l'adresse IP 198.137.240.91 qui correspondait à www.whitehouse.gov. Cette adresse IP pourrait être changée pour lancer une attaque contre une autre cible.



Solution du Symantec Security Response (Anciennement SARC - Symantec Antivus Research Center)

Solution de Trend Micro

Après éradication, s'assurer de votre protection par :

Autres ressources