Francette est un virus ciblant les ordinateurs
vulnérables à la faille RPC de Microsoft. Si une
machine connectée à Internet n'est pas à
jour dans ses correctifs, Francette l'infecte via le port TCP
135 puis scanne le réseau à la recherche de nouvelles
machines vulnérables. Il est par ailleurs programmé
pour se mettre à jour automatiquement et pour ouvrir
une porte dérobée permettant à un individu
malveillant de prendre le contrôle de l'ordinateur.
|
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
de Windows NT, 2000, XP et 2003 doivent également
mettre à jour leur système via le site
de Microsoft ou le service WindowsUpdate
afin de corriger la faille RPC exploitée par
le virus pour s'exécuter automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les
utilisateurs ne disposant pas d'un antivirus peuvent
utiliser gratuitement l'antivirus
gratuit en ligne pour rechercher et éliminer
le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows NT
Windows 2000
Windows XP
ALIAS :
Worm.Win32.Francette.a (Kaspersky)
W32/Tumbi.worm (Mc Afee)
W32/Francette (Sophos)
W32.Francette.Worm (Symantec)
WORM_FRANCETTE (Trend Micro)
TAILLE :
253.440 octets
DECOUVERTE :
17/10/2003
DESCRIPTION DETAILLEE :
Francette est un virus qui se propage via le réseau.
Si une machine connectée à Internet n'est pas
à jour dans ses correctifs, Francette l'infecte via
le port TCP 135 en utilisant la faille RPC de Microsoft :
il provoque le téléchargement d'un fichier SYSHOST.EXE
dans le répertoire System32 de Windows, puis son exécution
à distance sans intervention de l'utilisateur.
Une fois l'ordinateur infecté, le virus modifie la
base de registres pour s'exécuter à chaque démarrage
de l'ordinateur, puis scanne ensuite continuellement le réseau
à la recherche de nouvelles machines vulnérables.
Il est par ailleurs programmé pour se mettre à
jour automatiquement via un serveur FTP préprogrammé
et pour ouvrir une porte dérobée permettant
à un individu malveillant de prendre le contrôle
de l'ordinateur via un canal IRC spécifique et le port
TCP 6669 ou 6667afin de lancer diverses actions (attaques
DoS, exécution de commandes, téléchargement
de fichiers, etc.).
L'exploitation de la faille RPC par le virus rend souvent
le système instable. Sous Windows 2000, cela se traduit
par un plantage de l'ordinateur et/ou un message d'erreur
impliquant le processus svchost.exe. Sous Windows XP, un message
d'erreur s'affiche à l'initiative de Autorite NT\System,
puis l'ordinateur redémarre automatiquement après
60 secondes :
Si ce délai de 60 secondes ne vous laisse pas le
temps de télécharger le correctif, il est possible
de stopper le compte à rebours et d'annuler le redémarrage
automatique en procédant de la manière suivante : cliquez
sur le bouton "Démarrer", sélectionnez "Exécuter...",
entrez " shutdown -a " puis cliquez "Ok". Cette
opération n'est valable que pour Windows XP.
Francette est également capable d'utiliser la faille
Microsoft
IIS Web Server Folder Traversal vulnerability pour infecter
les serveurs web IIS non à jour dans leurs correctifs.
La mise à jour des machines sous Windows NT, 2000,
XP et 2003 est impérative pour combler la faille RPC
exploitée par le virus, mais aussi par divers outils
de piratage à distance en circulation.
INFORMATIONS COMPLEMENTAIRES :
-> Nouvelles
vulnérabilités critiques dans le service RPC
de Windows 2000, XP, NT 4.0 et Server 2003 (11/09/03)
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|
