w32.spybot
  • Résumé : w32.spybot - virus aux capacités de backdoor et keylogger. Se propage via le réseau P2P KaZaA et infecte les autres réseaux
  
  • Mots-clés : w32.spybot, w32.spybot.worm, w32/spybot.worm, Worm.P2P.SpyBot.gen, W32/Spybot.worm.gen, vers, virus trojan, backdoor, keylogger, kazaa, fasttrack, p2p, kuang2, sub7, sub seven, subseven

w32.spybot
 





w32.spybot


Un virus spécifique aux réseaux p2p, probablement l'oeuvre des majors.

Tout d'abord, ce virus est identifié sous plus de 80 variantes. Les infos suivantes sont plus orientées vers les variantes "B" et "C" mais on peut en déduire des règles générales.

Ce virus dispose de fonctions de type keylogger (un enregistreur de toute votre activité sur votre ordinateur) et tente de stocker vos mots de passe en clair afin de permettre à un backdoor de les récupérer.

Ce virus n'a absolument rien à voir avec l'utilitaire de protection de votre vie privée "SpyBot Search and Destroy".

Les backdoor associés identifiés sont, à ce jour:
  • kuang2 qui écoute sur le port 17300
  • sub7 qui écoute sur le port 27347


Les mots de passe interceptés sont stockés, provisoirement, dans un fichier, en attendant que le client du backdoor installé vienne les relever. Ce fichier serait keylog.txt

Ce virus se déploie via les réseaux de p2p (essentiellement le réseau Fasttrack dont les clients sont KaZaA, KaZaaLite etc. ...)

Ce virus infecte des fichiers de type .exe téléchargés via ces réseaux de p2p. Il est impératif de toujours tester un fichier téléchargé avec son antivirus avant de l'ouvrir, quelle que soit la nature de ce fichier.

Les .exe identifiés infectés par ce virus sont, actuellement, au moins
  • Pour la variante "C" du virus
    • Half-Life Keygen.exe
    • Edonkey Crack.exe
    • Retina Crack.exe
    • XBoX Emulator.exe
    • Battlefield 1912.exe
    • GTA3 Vice City (Real THING!).exe

  • Pour la variante "B" du virus
    • download_me.exe
    • zoneallarm_pro_crack.exe
    • AVP_Crack.exe
    • PornScreenSaver.exe
    • Battlefield1942_bloodpatch.exe
    • Unreal2_bloodpatch.exe
    • UT2003_bloodpatch.exe
    • AquaNox2
    • Crack.exe
    • NBA2003_crack.exe
    • FIFA2003
    • crack.exe
    • C&C Generals_crack.exe
    • nt_spread.exe
    • NetBios_Spread.exe
    • Dancing_Screensaver.exe
    • NudeDance_202Brittany.exe
    • DancingPlayboySpread.exe
    • Ejay_crack20.exe
    • The_REASON_CRACK_LEGIT.exe
    • Dance.exe
    • Matrix_ScreenSaver.exe
    • Netstat.exe
    • conf32.exe
    • sdbot_nt_mod.exe
    • netbios_patch.exe
    • Hack_scanner.exe
    • cisco_scan.exe
    • ULTIMATE_scanner.exe
    • Battlefield1942_Keygen.exe
    • ALL_WIN_osSERIAL-keygen.exe
    • winXP_keygen.exe
    • serials_2002ALLUPDATE.exe


Pour permettre à ces .exe d'être partagés même si vous ne les avez pas téléchargés ni mis en partage, le virus crée un répertoire \kazaabackupfiles et s'y copie lui-même avec l'un des noms précités puis il modifie la clé de registre HKCU\Software\Kazaa\LocalContent\Dir0 afin de permettre à KaZaA de pointer dessus.

Ensuite il se recopie dans les répertoires suivants, s'il les trouve (on voit donc qu'il s'attaque à plusieurs versions internationales européennes de Windows) :
  • Documents and Settings\All Users\Menu
  • Start\Programma's\Opstarten
  • WINDOWS\All Users\Start Menu\Programs\StartUp
  • WINNT\Profiles\All Users\Start Menu\Programs\Startup
  • WINDOWS\Start Menu\Programs\Startup
  • Documenti e Impostazioni\All Users\Start Menu\Programs\Startup
  • Dokumente und Einstellungen\All Users\Start Menu\Programs\Startup
  • Documents and Settings\All Users\Start Menu\Programs\Startup


Afin de garantir qu'il sera exécuté automatiquement au démarrage du système :
  • Variante "C" du virus
    • Il se copie dans explorer.exe (dans le répertoire Windows) et positionne les clé suivantes afin qu'elles pointent sur lui :
    • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Configuration File
    • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Configuration File
  • Variante "B" du virus
    • Il se recopie dans le répertoire Windows sous le nom TESTING.EXE et positionne les clés suivantes afin qu'elles pointent vers lui :
    • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winsock2 driver
    • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Winsock2 driver

Afin de garantir sa sécurité, il cherche également à tuer les tâches qui pourraient servir à l'inhiber :
  • regedit.exe
  • msconfig.exe
  • taskmgr.exe
  • netstat.exe


W32/Spybot-C dispose d'un backdoor IRC qui tente de se connecter sur jax.bsd.st, rejoint un canal IRC, annonce l'infection, propose un scan et, en fait, installe un RAT permettant de prendre le contrôle à distance de votre ordinateur. Il diffuse vos informations personnelles vers le canal IRC.

Enfin il peut être configuré pour permettre de mener une attaque de type DOS (Denial Of Service) vers un serveur spécifié (probablement dans le but d'attaquer les nodes des réseaux p2p).

Compte tenu de la sophistication de ce vers et de sa spécificité p2p sur le réseau Fasttrack, il n'est pas idiot de penser qu'il a été développé par un des majors du monde de la musique ou de la vidéo (ou une collusion entre eux). Cette intrusion et le viol/vol des données et des mots de passe constituent deux infractions pénales. Il ne serait pas bon pour l'auteur de ce virus que l'on remonte jusqu'à lui.


Eradication :

Il semble bien qu'il ne soit pas possible d'éradiquer ce virus automatiquement depuis un antivirus installé sur le PC infecté si celui-ci est sous Windows/me ou Windows XP

Voici quelques liens traitant de ce vers :

McAfee: W32/Spybot.worm.gen
http://vil.mcafee.com/dispVirus.asp?virus_k=100282

La procédure Norton, en anglais, que je vais traduire ci-après
Symantec: W32.Spybot.Worm
http://securityresponse.symantec.com/avcenter/venc/data/w32.spybot.worm.html

Panda propose d'utiliser leur scanner on-line et de suivre les instructions fournies par ce scanner si le virus est détecté
Panda Software: W32/Spybot
http://www.pandasoftware.com/virus_info/encyclopedia/solution.aspx?idvirus=39629


Rappel : Assiste.com vous offre d'analyser votre ordinateur sur la page Antivirus en ligne.



Procédure d'éradication :


Cette procédure est donnée par Symantec (Norton) qui est, d'après mes recherches, le seul à avoir fourni une procédure d'éradication. Cette procédure s'applique donc à l'utilisation de Norton Antivirus mais doit pouvoir être suivie avec un autre antivirus à condition que le scanner soit très recent (et pas, seulement, la base de signatures).



1. Désactiver le système de points de reprise de Windows Me ou XP).

2. Mettre à jour votre antivirus.


3. Exécuter un scan complet de tout le système et effacer tous les fichiers détectés comme W32.Spybot.Worm.


4. Supprimer les valeurs ajoutées à la base de registre.



Procédure détaillée.


1. Désactiver le système de points de reprise (Windows Me/XP)

  • Uniquement pour Windows Me ou Windows XP, désactiver temporairement cette fonctionalité. Windows Me/XP utilisent cette fonctionalité, qui est active par défaut, pour restaurer les fichiers de votre ordinateur si ceux-ci venaient à être corrompus. Si un virus, un vers ou un trojan infecte votre ordinateur, le système de points de reprise peut, malheureusement, restaurer ce virus, vers ou trojan après nettoyage par votre antivirus.

  • Windows empêche des programmes externes, tels que les antivirus, de modifier le système de Points de reprise. Ainsi les antivirus et autres utilitaires ne peuvent effacer des enregistrement du système de Points de reprise. Il en résulte malheureusement que le système de points de reprise offre la possibilité de restaurer un fichier avec son infection sur votre ordinateur bien que vous ayez détruit toutes les occurences de ce fichiers partout ailleurs.

  • Egalement, un scan antivirus peut détecter le virus dans vos points de reprise même si vous avez éradiqué le virus.

  • Instructions pour désactiver les points de reprise:


2. Mise à jour de l'antivirus.

  • Suivre la procédure habituelle de votre antivirus


3. Scan de votre machine.

  • Suivre la procédure habituelle de votre antivirus pour effectuer un scan approfondi de l'ensemble de votre ordinateur.
  • Si le moindre fichier est détecté comme infecté par W32.Spybot.Worm., noter ces noms de fichiers par écrit, sur feuille à côté de vous et détruisez-les.


4. Nettoyage de la base de registre.

  • Attention : bien faire une sauvegarde de votre base de registre avant d'y toucher sinon vous risquez une blocage ou une perte définitive des données de votre ordinateur.

  • Lire le document http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/199762382617 "How to make a backup of the Windows registry" pour des instruction sur la sauvegarde / restauration d'une base de registre.

  • Ne touchez qu'aux clés précisées ci-parès.

  • 1. Click sur Démarrer > exécuter > Regedit > Ok - l'éditeur de base de registre s'ouvre

  • 2. Rechercher la clé, en déroulant les arborecences dans le volet de gauche de la fenêtre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • 3. Dans le volet de droite, rechercher et détruire toutes les valeurs qui reprennent les noms de fichiers que vous avez notez un peu plus tôt.

  • 4. Rechercher la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

  • 5. Dans le volet de droite, rechercher et détruire toutes les valeurs qui reprennent les noms de fichiers que vous avez notez un peu plus tôt.

  • 6. Quitter l'éditeur de registre.


5/ Ajouter jax.bsd.st à votre liste hosts.

En fait, le gros problème de l'éradication est le système de point de reprises de Windows (dans les versions de Windows qui disposent de ce système) qui anéanti le travail des antivirus.

Compléments


Recherches Google:
  • w32.spybot - toutes langues
    Google

  • w32.spybot - français
    Google


  • w32.spybot remove - toutes langues
    Google