Troj/FakeAle-D

Veuillez suivre les instructions de suppression des chevaux de Troie.

Windows NT/2000/XP/2003

Dans Windows NT/2000/XP/2003, vous devez aussi modifier l'entrée suivante du registre pour chaque utilisateur qui a exécuté le virus. La suppression de cette entrée est facultative dans Windows 95/98/Me. Veuillez lire l'avertissement concernant la modification du registre.

Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre.

Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.

Chaque utilisateur dispose d'une zone de registre nommée HKEY_USERS\[numéro de code désignant l'utilisateur]\. Pour chaque utilisateur, recherchez l'entrée :

HKU\[numéro de code]\Software\Microsoft\Windows\CurrentVersion\Run\ WindowsFY <Root>\wp.exe

et supprimez-la si elle existe.

Fermez l'éditeur du registre.

Troj/FakeAle-D est un cheval de Troie Windows.

Troj/FakeAle-D inclut des fonctionnalités pour changer les paramètres du navigateur et afficher un faux message en guise d’image d’arrière-plan de votre poste de travail Windows.

L’image affiche un écran bleu accompagné du texte suivant :

Security warning

A fatal error in IE has occured at 0028:C0011E36 in VXD VMM(01) + 00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c

* System can not function in normal mode. Please check you security settings. * Scan your PC with any avaliable antivirus / spyware remover program to fix the problem.

Lorsque Troj/FakeAle-D est installé, les fichiers suivants sont créés :

<System>\wldr.dll <Root>\wp.bmp <Root>\wp.exe

Le fichier wp.exe est détecté sous le nom de Troj/FakeAle-A. Ces fichiers peuvent être supprimés. Troj/FakeAle-D est un cheval de Troie Windows.

Troj/FakeAle-D inclut des fonctionnalités pour changer les paramètres du navigateur et afficher un faux message en guise d’image d’arrière-plan de votre poste de travail Windows.

L’image affiche un écran bleu accompagné du texte suivant :

Security warning

A fatal error in IE has occured at 0028:C0011E36 in VXD VMM(01) + 00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c

* System can not function in normal mode. Please check you security settings. * Scan your PC with any avaliable antivirus / spyware remover program to fix the problem.

Lorsque Troj/FakeAle-D est installé, les fichiers suivants sont créés :

<System>\wldr.dll <Root>\wp.bmp <Root>\wp.exe

Le fichier wp.exe est détecté sous le nom de Troj/FakeAle-A. Ces fichiers peuvent être supprimés.

L’entrée suivante du registre est créée pour exécuter wp.exe au démarrage :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run WindowsFY <Root>\wp.exe

Le fichier wldr.dll est enregistrée sous la forme d’un objet et d’un plugin COM, créant dans le registre de entrées sous :

HKCU\Software\Microsoft\Internet Explorer\Extensions\(random ClassID1) ButtonText Microsoft AntiSpyware helper

HKCU\Software\Microsoft\Internet Explorer\Extensions\(random ClassID1) Default Visible No

HKCU\Software\Microsoft\Internet Explorer\Extensions\(random ClassID1) HotIcon Shell32.dll,128

HKCU\Software\Microsoft\Internet Explorer\Extensions\(random ClassID1) MenuStatusBar Shell32.dll,241

HKCU\Software\Microsoft\Internet Explorer\Extensions\(random ClassID1) MenuText Microsoft AntiSpyware helper

HKCU\Software\Microsoft\Internet Explorer\Extensions\(random ClassID1) ToolTip Microsoft AntiSpyware helper

HKCU\Software\Microsoft\Internet Explorer\Extensions\(random ClassID1) ImageFilename Shell32.dll

HKCU\Software\Microsoft\Internet Explorer\Extensions\(random ClassID1) clsid (random ClassID1)

HKCU\Software\Microsoft\Internet Explorer\Extensions\(random ClassID1) BandCLSID (random ClassID2)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\(random ClassID1) clsid (random ClassID1)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\(random ClassID1) BandCLSID (random ClassID2)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\(random ClassID1) ButtonText Microsoft AntiSpyware helper

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\(random ClassID1) Default Visible No

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\(random ClassID1) HotIcon Shell32.dll,128

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\(random ClassID1) MenuStatusBar Shell32.dll,241

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\(random ClassID1) MenuText Microsoft AntiSpyware helper

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\(random ClassID1) ToolTip Microsoft AntiSpyware helper

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\(random ClassID1) ImageFilename (random ClassID4)

HKCR\CLSID\(random ClassID1)\InprocServer32 (default) <System>\wldr.dll

Les entrées du registre sont paramétrées comme suit :

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoActiveDesktopChanges 1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System WallpaperStyle 0

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System NoDispBackgroundPage 1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System NoDispAppearancePage 1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System Wallpaper <Root>\wp.bmp

HKCU\Control Panel\Desktop Wallpaper <Root>\wp.bmp

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components GeneralFlags 0

HKCU\Control Panel\Colors Background 0 0 0

HKCU\Control Panel\Desktop Wallpaper <Root>\wp.bmp

HKCU\Control Panel\Desktop WallpaperStyle 0

Troj/FakeAle-D change par ailleurs les sections suivantes dans <Windows>\win.ini:

[Colors] Background = 0 0 0

[DeskTop] Wallpaper=<Root>\wp.bmp WallpaperStyle=2