Un nouveau ver se propage actuellement via la vulnérabilité WINS (MS04-045). Winser-A est dérivé de plusieurs exploits (privés et publics), il identifie ses cibles potentielles en scannant le port 42/TCP puis s'y installe sous le nom "ccSetMngr.exe".
Une fois la machine infectée, le ver ouvre une porte dérobée sur les ports 36010/TCP et 37264/TCP puis ajoute l'entrée suivante au registre :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunnortonsantivirus
Les systèmes compromis par Winser-A sont ensuite contrôlés par des pirates depuis un canal IRC. Le nombre de machines potentiellement vulnérables à cette attaque reste relativement bas, K-OTik Security qualifie le risque lié à ce ver comme "Moyen".
Il est recommandé d'appliquer le correctif Microsoft et de bloquer/restreindre l'accès au port TCP/UDP 42.
Cela vous intéressera aussi
Lien externe