Agence nationale
de la sécurité des
systèmes d'information
No CERTA-2000-ALE-008
| S . G . D . S . N Agence nationale de la sécurité des systèmes d'information |
|
Paris, le 13 juin 2000 No CERTA-2000-ALE-008 |
Affaire suivie par :
CERTA
Objet : The Serbian Badman Trojan
(TSB)
| Conditions d'utilisation de ce document : | http://www.certa.ssi.gouv.fr/certa/apropos.html |
| Dernière version de ce document : | http://www.certa.ssi.gouv.fr/site/CERTA-2000-ALE-008 |
Cheval de Troie
Serbian.trojan (également nommé Troj/Downloader ou W95/Loader Trojan) est un cheval de Troie qui s'est propagé par l'intermédiaire d'un fichier téléchargé depuis certains forums.
Ce cheval de Troie a été proposé sur des forums pour adultes sous la forme d'un fichier Quickflick.mpg.exe ou Mysissy.mpg.exe se faisant ainsi passer pour un fichier vidéo (.mpg).
Une fois ce fichier exécuté sur la machine, il installe discrétement un cheval de Troie téléchargé depuis un autre site (dont l'adresse semble actuellement inaccesible), qui permet à un utilisateur distant de prendre le contrôle de la machine et de l'impliquer dans un éventuel Déni de Service par Outils Répartis. Il utilise également des ports de communications dont certains correspondent à ceux utilisés lors de connexions IRC.
Lister les ports ouverts via la commande netstat
-a et s'assurer que les ports 2221, 2222, 6669 et 7000
ne sont pas utilisés.
Le cheval de troie ajoute les lignes de commandes suivantes :
Il ajoute également une entrée dans la base de registre à l'emplacement :
HKEY_USERS\Microsoft\Windows\CurrentVersion\Explorer
http://www.sophos.com
http://www.netsec.net/advisory.html
http://www.cnn.com/2000/TECH/computing/06/09/hacker.attack/index.html