TROJ_QDDOS.A

Pour bénéficier d'un aperçu complet du comportement de ce programme espion, reportez-vous au diagramme des menaces présenté ci-dessous.

Lance des attaques de refus de service (DoS) sur certains sites Web. Exécute ladite routine afin d''empêcher les utilisateurs d''accéder à ces sites à une heure déterminée.

Exécute ensuite les fichiers déposés. De ce fait, les routines malveillantes des fichiers déposés sont exposées sur le système affecté.

Technique de démarrage automatique

S''enregistre en tant que service système afin d''assurer son exécution automatique à chaque démarrage système en ajoutant les entrées de registre suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
m{3 random alphabetic characters}svc = "m{3 random alphabetic characters}svc"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
w{2 random alphabetic characters}csvc = "w{2 random alphabetic characters}csvc"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
s{3 random alphabetic characters}svc = "s{3 random alphabetic characters}svc"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
Type = "20"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
ImagePath = "%System Root%\system32\svchost.exe -k m{3 random alphabetic characters}svc"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
DisplayName = "Microsoft DNS resolve Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
Description = "Provides DNS resolve.If this service is stopped, system cannot be well performed"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc\Parameters
ServiceDll = "%System Root%\system32\m{3 random alphabetic characters}svc.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
Type = "20"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
ImagePath = "%System Root%\system32\svchost.exe -k s{3 random alphabetic characters}svc"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
DisplayName = "Removal stoarage Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc
Description = "Allows Removal stoarage.If this service is stopped, system cannot be well performed"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc\Parameters
ServiceDll = "%System Root%\system32\s{3 random alphabetic characters}svc.dll"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
Type = "20"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
ImagePath = "%System Root%\system32\svchost.exe -k w{2 random alphabetic characters}csvc"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
DisplayName = "Windows DNS Security controler Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc
Description = "Transmits DNS Security controler.If this service is stopped, system cannot be well performed"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc\Parameters
ServiceDll = "%System Root%\system32\w{2 random alphabetic characters}csvc.dll"

S''enregistre en tant que service système afin d''assurer son exécution automatique à chaque démarrage système en ajoutant les clés de registre suivantes :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\s{3 random alphabetic characters}svc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\w{2 random alphabetic characters}csvc

Attaque de refus de service (DoS)

Lance des attaques de refus de service sur les sites Web suivants :

• naver.com
• daum.net
• auction.co.kr
• hangame.com
• dcinside.com
• gmarket.co.kr
• cwd.go.kr
• mofat.go.kr
• nis.go.kr
• unikorea.go.kr
• assembly.go.kr
• korea.go.kr
• dapa.go.kr
• police.go.kr
• nts.go.kr
• customs.go.kr
• mnd.mil.kr
• jcs.mil.kr
• army.mil.kr
• airforce.mil.kr
• navy.mil.kr
• usfk.mil
• dema.mil.kr
• kunsan.af.mil
• kcc.go.kr
• mopas.go.kr
• kisa.or.kr
• ahnlab.com
• fsc.go.kr
• kbstar.com
• wooribank.com
• hanabank.com
• keb.co.kr
• shinhan.com
• jeilbank.co.kr
• nonghyup.com
• kiwoom.com
• daishin.co.kr
• korail.com
• khnp.co.kr

Routine d'introduction

Introduit les fichiers suivants :

• %System%\faultrep.dat - non-malicious file
• %System%\tlntwye.dat - non-malicious file
• %System%\tljoqgv.dat - encrypted list of sites to DDoS; non-malicious file
• %System%\noise03.dat - non-malicious file

(Remarque : %System% est le dossier système de Windows, le plus souvent C:\Windows\System sous Windows 98 et ME, C:\WINNT\System32 sous Windows NT et 2000 ou C:\Windows\System32 sous Windows XP et Server 2003.)

Introduit les fichiers suivants :

• %System%\rtdrvupr.exe - also detected as TROJ_QDDOS.A
• %System%\m{3 random alphabetic characters}svc.dll - also detected as TROJ_QDDOS.A
• %System%\w{2 random alphabetic characters}csvc.dll - also detected as TROJ_QDDOS.A
• %System%\s{3 random alphabetic characters}svc.dll - also detected as TROJ_QDDOS.A

(Remarque : %System% est le dossier système de Windows, le plus souvent C:\Windows\System sous Windows 98 et ME, C:\WINNT\System32 sous Windows NT et 2000 ou C:\Windows\System32 sous Windows XP et Server 2003.)

Exécute ensuite les fichiers déposés. De ce fait, les routines malveillantes des fichiers déposés sont exposées sur le système affecté.

Routine de téléchargement

Le programme enregistre les fichiers qu''il télécharge en utilisant les noms suivants :

• nt{2 random alphabetic characters}{2 random numeric characters}.dll - also detected as TROJ_QDDOS.A