W32/Bnc-C est un cheval de Troie de porte dérobée qui peut se propager sur les ordinateurs avec des combinaisons de nom utilisateur/mot de passe peu sûres.
W32/Bnc-C est une archive auto-extractible qui place de nombreux fichiers dans C:\<Système Windows>\system9x. Certains de ces fichiers sont :
explored.exe (détecté comme étant Troj/Flood-BC. Il s'agit du composant principal du cheval de Troie de porte dérobée)
bnc.mrc
csan.dat
webget.mrc
winconf.mrc (ces quatre fichiers sont détectés comme étant Troj/Flood-BC. Ils sont utilisés en conjonction avec Troj/Flood-BC pour inonder les canaux IRC).
Le reste des fichiers dans ce dossier sont des utilitaires et des fichiers d'initialisation utilisés par le cheval de Troie.
Le fichier explored.exe (détecté comme étant Troj/Flood-BC) s'exécute en fond de tâche et permet un accés et un contrôle non autorisés sur l'ordinateur via canaux IRC.
W32/Bnc-C configure dans la base de registre les entrées suivantes pour que le cheval de Troie soit exécuté au démarrage et/ou lors de l'exécution de certaines applications mIRC :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinUpdate = "C:\<Dossier système de Windows>\system9x\explored.exe"
HKCR\ChatFile\DefaultIcon = "C:\<Dossier système de Windows>\system9x\explored.exe"
HKCR\ChatFile\Shell\Open\command = "C:\<Dossier système de Windows>\system9x\explored.exe -noconnect"
HKCR\irc\DefaultIcon = "C:\<Dossier système de Windows>\system9x\explored.exe"
HKCR\irc\Shell\Open\command = "C:\<Dossier système de Windows>\system9x\explored.exe -noconnect"
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\mIRC\ UninstallString = "C:\<Dossier système de Windows>\system9x\explored.exe -uninstall"
W32/Bnc-C ajoute aussi de nombreuses sous-valeurs/entrées de registre sous :
HKCR\ChatFile
HKCR\irc
W32/Bnc-C peut se propager sur d'autres ordinateurs avec une combinaison de nom utilisateur/mot de passe peu sûre. Ceci est réalisé en utilisant un fichier batch (détecté comme étant W32/Bnc-C). Lors de la propagation, les fichiers suivants seront présent dans C:\Temp\Drivers:
nchk2.bat (détecté comme étant W32/Bnc-C)
vnsystask.exe
VNCHooks.dll
omnithread_rt.dll
Guérison
Veuillez suivre les instructions de suppression des chevaux de Troie.
Windows NT/2000/XP
Sous Windows NT/2000 vous devrez supprimer de la base de registre les entrées suivantes. La suppression de ces entrées est optionnelle sous Windows 95/98/Me. Veuillez lire l'avertissement concernant la modification du registre Windows.
Dans la barre des tâches de Windows, sélectionnez Démarrer|Exécuter. Tapez "Regedit". L'éditeur de registre s'ouvrira.
Avant d'éditer le registre, vous devrez faire une sauvegarde du registre. Dans le menu Registre, cliquez sur Exporter le fichier du registre, dans Etendue de l'exportation, sélectionnez Tout puis sauvegardez votre registre.
Recherchez l'entrée HKEY_LOCAL_MACHINE :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
WinUpdate = "C:\<Dossier système de Windows>\system9x\explored.exe"
et supprimez-la si elle existe.
Si vous n'avez pas IRC installé, supprimez aussi les entrées suivantes
HKCR\ChatFile
HKCR\irc
Fermez l'éditeur de registre. |
