Centre de sécurité Bitdefender

Win32.Polip.A

( Win32.Polipos, Win32/Polip.A, W32.Polip, W32/Polipos-A, P2P-Worm.Win32.Polip.a, W32/Polipos.V12 )

Propagation :	low
D�g�t :	medium
Size:	~65 kbytes
D�tect� :	2006 Apr 04

SYMPTOMS:

Size of executable increases with about 60-70 KB.

There could be detected unusual network activity.

Suspect activity for the running processes (searching and modifying executable files).

NOTE: Please follow the instructions at the bottom of this page in order to remove Win32.Polip.A from your system.

TECHNICAL DESCRIPTION:

Win32.Polip.A is a dangerous, polymorphic file infector, with a worm-like spreading capability. It's targets are EXE and SCR files.

It is a memory-resident virus, because once executed, it injects code in the running processes. The first files it infects are those located in %ProgramFiles% and %WINDIR% directories. But it hooks imported functions for the infected proceses, so that all executables accessed by those processes will be infected.

This infector uses different encryption layers, the first of them being the hardest to decrypt. It is a simplified version of XTEA (eXtended Tiny Encryption Algorithm), but decrypting it could take a long time.

It also has an advanced polymorphic engine, combined with a junk-code generator, antidebugging and antiemulation techniques, making it's detection more difficult.

FILE INFECTION METHOD:

Using different entry-point obscuring techniques, Polip makes itself a hard to detect virus:

It chooses a random imported function from the victim, and hooks all calls or jumps to that function.

It searches for functions that have the same stack-frame-restore code, and patches all instances of that code, with a call to its own body.

If it finds unused space in victim's code sections, it inserts code into them, as much as it can, without increasing those sections' sizes.
It increases the VirtualSize for the data sections of the victim, and will use that space from it's junk code.
If a resource section is found in the victim, sometimes it shifts that section, and inserts a new section after the last data section, and before the resources (other times it appends it's section after the resources), and repairs the resource section (otherwise it would damage the victim).

When infecting a file, it searches for the following files in same directory as the file that is going to be infected:

drwebase.vdb
avg.avi
vs.vsn
anti-vir.dat
avp.crc
chklist.ms
ivb.ntz
ivp.ntz
chklist.cps
smartchk.ms
smartchk.cps
aguard.dat
avgqt.dat
lguard.vps

It will delete these files if they are found.

Once the control of an infected file is passed to the virus body, it cleans the memory copy of the file (restores the original code at the patched locations), to make sure it is run only once from a certain file.

When the virus is executed from an file with overlay, it makes a copy of that in the %TEMP% folder, disinfects it, and runs it from that location. This is useful in case of installers or SFX archives that use integrity checks.

The virus will not infect the files matching the following names:

vtf tb dbg f- nav pav mon rav nvc fpr dss ibm inoc scn
pack vsaf vswp fsav adinf sqstart mc watch kasp nod setup
temp norton mcafee anti tmp secure upx forti scan "zone labs"
alarm symantec retina eeye virus firewall spider backdoor
drweb viri debug panda shield kaspersky doctor "trend micro"
sonique cillin barracuda sygate rescue pebundle ida spf
assemble pklite aspack disasm gladiator ort expl process
eliashim tds3 starforce sec avx root burn aladdin
esafe olly grisoft avg armor numega mirc softice norman
neolite tiny ositis proxy webroot hack spy iss pkware
blackice lavasoft aware pecompact clean hunter common kerio
route trojan spyware heal alwil qualys tenable avast a2
etrust spy steganos security principal agnitum outpost avp
personal softwin defender intermute guard inoculate sophos
frisk alwil protect eset nod32 f-prot avwin ahead nero
blindwrite clonecd elaborate slysoft hijack roxio imapi
newtech infosystems adaptec "swift sound" copystar astonsoft
"gear software" sateira dfrgntfs

The decrypted virus body contains the following text:

Win32.Polipos v1.2 by Joseph.

PROCESS INFECTION METHOD:

The virus will infect all running processes excepting those matching the following names: savedump, dumprep, dwwin, drwatson, drwtsn32, smss, csrss, spoolsv, ctfmon, temp.

For the processes it infects, it hooks the following APIs, by patching directly the kernel copy from each process address space:

CreateFileW
CreateFileA
SearchPathW
SearchPathA
CreateProcessW
CreateProcessA
LoadLibraryExW
LoadLibraryExA
ExitProcess

These hooks will allow the virus to infect all files that an infected process accesses through the APIs mentioned above.

SPREADING METHOD:

The virus is able to connect to Gnutella P2P network, acting as a client. It uses a predefined list of Gnutella webcache servers, in order to obtain lists of available nodes (connected clients). Using the P2P network, it has a strong ability to spread itself like a worm.

Removal instructions:

    1. Please download our memory removal tool for Win32.Polip.A from the link below.
    2. Please close all your programs except BitDefender Antivirus.
    3. Please update BitDefender with latest antiviral signatures.
    4. Please run the removal tool - this will remove the virus from memory only.
    5. Please scan your entire HDD with BitDefender and let BitDefender disinfect your files.

NOTES:

It's mandatory that all the above operations should be done with BitDefender Virus Shield set to 'Enabled'
The removal tool will only work for Windows 2000, Windows XP and Windows 2003.

ANALYZED BY:

Raul TOSA and Dan LUTAS, BitDefender virus researchers.

Malware City

e-Guides de Bitdefender

La série des e-Guides Bitdefender est une initiative didactique qui vise à fournir à la communauté des lecteurs et utilisateurs de Bitdefender des informations utiles sur les e-menaces et les problèmes de sécurité de l’univers informatique, tout en leur offrant également des conseils pratiques et des solutions viables répondant à leurs besoins de protection en ligne. Les analystes sécurité de Bitdefender partagent leurs connaissances sur la prévention, l’identification et la suppression des malwares, et en particulier sur la question de la vie privée en ligne et les différentes technologies, les défenses, et les méthodes de prévention contre la cybercriminalité.

Couvrant des sujets allant de la protection en ligne des enfants et de leur famille à la sécurisation des environnements professionnels, en passant par la sécurité sur les réseaux sociaux et à la prévention des pertes de données, la série des e-Guides s’adresse à une audience large de petites organisations et d’utilisateurs individuels préoccupés par la sécurité et la protection de leurs réseaux et de leurs systèmes. Les e-Guides traitent également des problèmes relatifs à l’activité quotidienne des responsables de la sécurité des systèmes informatiques, des administrateurs systèmes et réseaux, des développeurs de technologies de sécurité, des analystes et des chercheurs.

Comment bloguer en toute sécurité

Trucs et astuces sur comment sécuriser votre blog et votre identité

Le blog est un des moyens les plus populaires dexpression écrite sur le web, avec plus de 150 millions de blogs répertoriés dans le monde. Alors que des lecteurs réguliers cherchent des informations et articles, les escrocs y trouvent un intérêt tout différent. Ils sont à la recherche dinformations privées et despace de stockage à moindre coût pour leurs attaques. Ce ne sont que 2 exemples parmi tant dautres dintérêt pour les cyber-pirates.

Ce guide couvre les grandes lignes du « blogging » en toute sécurité et se concentre sur les blogs personnels, quils soient eux-mêmes hébergés ou via des fournisseurs spécialisés.

Télécharger

Guide de sécurisation des réseaux sans fils

Trucs et astuces sur comment protéger votre réseau personnel des intrusions

Ce guide vous expliquera les meilleures pratiques quand on utilise des réseaux sans fil, mais aussi à configurer efficacement votre routeur ou point daccès, pour prévenir de toute intrusion.

Ce document vise les utilisateurs dordinateurs qui ont déployé ou prévoient de déployer un réseau sans fil à la maison. Actuellement les moyens de communication sans fil deviennent de plus en plus importants dans nos vies, et les cybercriminels tentent dexploiter toutes les failles de sécurité dans nos réseaux sans fil, afin dintercepter le trafic et des informations ou utiliser notre connexion internet à des fins illégales.

Télécharger

Guide de protection des enfants en ligne

Comment sécuriser et protéger les activités numériques de vos enfants

Ce document est destiné aux familles, parents et enseignants, et son but est d’aider à sécuriser les activités numériques des enfants et adolescents. A une époque où la production de masse et l’accessibilité des ordinateurs ont répandu l’usage domestique de ces matériels, les enfants sont familiarisés avec les ordinateurs et Internet à un âge très précoce. En dépit des avantages indéniables qu’il présente en termes de communication, le Web peut aussi être un lieu dangereux, où des menaces visent directement leur classe d’âge et leurs ordinateurs, à la maison comme en classe.

Cet e-Guide traite des principaux risques et dangers auxquels sont exposés les enfants sur Internet : cyber-agression, exposition à des contenus déplacés, dépendance au web, et autres activités nocives, tout en mettant également l’accent sur des sujets comme le malware, le phishing, le vol d’identité et le spam, auxquels les adolescents, exactement comme les autres utilisateurs d’Internet, sont exposés aujourd’hui. La section Conseils de sécurité est destinée à aider parents et enseignants à mieux comprendre et faire face à ces problèmes concernant les enfants.

Télécharger

Guide de sécurité en ligne pour les internautes aux tempes grisonnantes

Comment protéger la propriété intellectuelle et financière des cyber-pirates

Ce document est destiné aux familles et aux seniors et son but est de les aider à naviguer sur le web en toute sécurité et à bien profiter de leurs activités en ligne.

Au premier abord, on pourrait avoir tendance à penser que les seniors sont exposés au cybercrime comme n’importe quels autres utilisateurs inexpérimentés d’Internet, quel que soit leur âge. Cependant, comme cet e-Guide le montre à travers plusieurs études de cas, les internautes aux tempes grisonnantes sont la cible de dangers spécifiques, concernant par exemple le paiement de leur pension, de fallacieuses méthodes de paiement des impôts ou des escroqueries financières. Des exemples, des astuces et des conseils complètent les situations décrites et fournissent aux lecteurs des recommandations utiles pour l’exercice de leurs occupations quotidiennes en ligne.

Télécharger

Guide de prévention de l’accès non autorisé aux données

Comment protéger la propriété intellectuelle et financière des cyber-pirates

Cet e-guide a été conçu pour répertorier les nombreux points sensibles de la sécurité des données de l’entreprise, de l’intégrité physique d’un réseau jusqu’aux mécanismes complexes du cybercrime qui prend les entreprises pour cible (chevaux de Troie visant les données bancaires, phishing, par exemple). Ces informations ont également pour objectif d’expliquer – bien que d’une manière moins détaillée que dans une documentation technique complète – en quoi les caractéristiques des différentes solutions Bitdefender pour particuliers et entreprises peuvent intéresser les administrateurs informatiques.

La consultation de ce document peut se révéler utile dans une démarche visant à décider de la meilleure solution de sécurité pour des réseaux de taille réduite ou moyenne. Son contenu constitue également une base solide pour des recherches comparatives ultérieures sur ce sujet.

Télécharger

Malware City

Livres Blancs

Malware City

Rapports Bitdefender sur l'état des e-menaces

L’objectif de ce rapport est de fournir les résultats d'une enquête détaillée sur les menaces informatiques actuelles. Les experts en sécurité de Bitdefender® ont analysé et examiné en détail les menaces de chaque semestre, en se concentrant sur les vulnérabilités et exploits des logiciels, les différents types de malwares, mais aussi sur les mesures prises pour les combattre, la prévention contre le cybercrime, et l’application des lois. Ce rapport sur les e-menaces est principalement axé sur les dernières tendances, mais contient aussi des faits et données concernant les périodes d’investigation précédentes, ainsi que quelques prévisions concernant les prochains semestres. Ce document est surtout destiné aux responsables de la sécurité des systèmes d'information, aux administrateurs réseaux, aux développeurs de technologies de sécurité, aux analystes et chercheurs, mais il aborde également des problèmes intéressant une audience plus large, comme les petites entreprises et les particuliers soucieux de la sécurité et de l’intégrité de leurs réseaux et systèmes.

Zoom sur les malwares

Bien que corrigée en 2008, la fonctionnalité de détournement de l’Autorun continue à être la technologie des systèmes Windows la plus exploitée. La famille Autorun est suivie du ver Downadup (Conficker) qui constitue la deuxième emenace la plus destructrice du 2nd semestre 2011. Il est intéressant de noter que ces deux malwares continuent à faire des ravages alors que leur code n’a pas été mis à jour depuis des années et que les gangs de cybercriminels les ayant créés ont très probablement disparu.

Prévisions concernant les emenaces

L’année 2011 a été particulièrement riche en activités malveillantes. Elle a débuté sous le signe des détournements de données et des fuites d’informations en entreprises avec l’émergence de bots extrêmement sophistiqués tels que ZeroAccess et TDL4, et s’est achevée avec Duqu, « le fils de Stuxnet »

L’introduction de HTML5

Ce nouveau langage est actuellement pris en charge par les principaux navigateurs et offre de nouveaux niveaux d’interaction entre l’utilisateur et les sites Web. Si l’amélioration de l’interaction est le principal objectif du lancement d’une version majeure du populaire langage de balisage, les nouvelles fonctionnalités permettront aux cyber-escrocs de concevoir des scams plus efficaces contre les utilisateurs d’Internet via les « Notifications Web », de suivre les victimes avec les données de géolocalisation (en particulier si elles utilisent HTML5 sur leur smartphone) ou même, de lancer des attaques contre d’autres sites directement à partir du navigateur de la victime.

Télécharger Rapport sur les e-menaces au 2nd semestre 2011 (pdf)
Télécharger maintenant le résumé Résumé du rapport sur les e-menaces au second semestre 2011 (pdf)

Centre de sécurité Bitdefender

Win32.Polip.A

e-Guides de Bitdefender

Comment bloguer en toute sécurité

Trucs et astuces sur comment sécuriser votre blog et votre identité

Guide de sécurisation des réseaux sans fils

Trucs et astuces sur comment protéger votre réseau personnel des intrusions

Guide de protection des enfants en ligne

Comment sécuriser et protéger les activités numériques de vos enfants

Guide de sécurité en ligne pour les internautes aux tempes grisonnantes

Comment protéger la propriété intellectuelle et financière des cyber-pirates

Guide de prévention de l’accès non autorisé aux données

Comment protéger la propriété intellectuelle et financière des cyber-pirates

Livres Blancs

Rapports Bitdefender sur l'état des e-menaces

Zoom sur les malwares

Prévisions concernant les emenaces

L’introduction de HTML5

Archive