W32/Atak-G

Veuillez suivre les instructions de suppression des vers.

Modifier Win.ini

Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez Sysedit. Faites passer le fichier Win.ini au premier plan. Dans la section [windows], recherchez une ligne commençant par 'Load=' et supprimez toutes les références aux fichiers que vous avez supprimé. Supprimez uniquement cette référence et aucun autre texte.

Windows NT/2000/XP/2003

Dans Windows NT/2000/XP/2003, vous devez aussi modifier l'entrée suivante du registre. La suppression de cette entrée est facultative dans Windows 95/98/Me. Veuillez lire l'avertissement concernant la modification du registre.

Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre.

Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.

Chaque utilisateur dispose d'une zone de registre nommée HKEY_USERS\[numéro de code indiquant l'utilisateur]\. Pour chaque utilisateur, recherchez l'entrée :

HKU\[numéro de code]\Software\Microsoft\Windows NT\CurrentVersion\Windows load <Chemin du ver>

et supprimez toutes les références aux fichiers que vous avez supprimé.

Fermez l’éditeur du registre.

W32/Atak-G est un ver Windows qui se propage par courriel. W32/Atak-G se copie dans un fichier sous un nom aléatoire du dossier système Windows.

W32/Atak-G s'envoie aux adresses électroniques qu'il trouve sur le système.

Le ver arrive dans un courriel sous la forme d'une pièce jointe ZIP. L'objet et le texte du message ainsi que le nom de la pièce jointe sont construits aléatoirement à partir de listes répertoriées dans l'onglet Détails de cette description.W32/Atak-G est un ver Windows qui se propage par courriel. W32/Atak-G se copie dans un fichier sous un nom aléatoire du dossier système Windows.

Pour être exécuté automatiquement à l'ouverture d'une session utilisateur, W32/Atak-G insère sur les systèmes W9x une entrée 'load=' sous la section [windows] du fichier WIN.INI signalant le ver.

Pour se démarrer à l'ouverture d'une session Windows sur les systèmes NT, W2k et XP, le ver paramètre l'entrée de registre suivante :

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows load <Chemin du ver>

W32/Atak-G s'envoie aux adresses électroniques qu'il trouve sur le système. Le ver collecte ces adresses dans des fichiers portant diverses extensions telles que HTM, EML, ASP et DBX.

Les vers de messagerie ont les caractéristiques suivantes :

Nom de la pièce jointe : choisie parmi

separate_file.zip textfile.zip print.zip note.zip white_paper.zip part001.zip

Objets :

<aléatoire1> Love <aléatoire2> <smiley>

ici, les parties aléatoires sont sélectionnées parmi les listes suivantes.

<aléatoire1>:

Stay True Get Make Have a

<aléatoire2>:

human spirit Not Wars and get money for fun will freedom to other with me Not spam

<smiley >:
:D ;) :> ;-D - ;-* !! !?! :K

Par exemple : 'Have a Love to other :>'.

Le message commence avec une forme de politesse comme suit : <aléatoire1> <aléatoire2>,'

où <aléatoire1> est choisi parmi :

Dear Congratulation Welcome Greet Hi Hello Nice to meet you

et <aléatoire2> parmi :

Ladies & Gentleman Sir/Madam Person Customer User

Par exemple : 'Welcome User,'.

La forme de politesse est suivie d'une des lignes suivantes :

We have installed our anti-spam tools to protect your email Your account info has been setting up to block spam email We have make a few change for our customer. Please be informed We have upgraded your account features Your account has been upgraded with our new services

suivie d'une autre ligne contenant du texte aléatoire se présentant sous la forme <aléatoire1> site Web à http://www.<domaine> vers <aléatoire2>

où <aléatoire1> est choisi parmi :

Please check our Visit our Goto our Logon to

et <aléatoire2> est choisi parmi :

know about account features learn about our features get more info find out our services.

Le nom de domaine est soit collecté depuis le système ou élaboré aléatoirement.

La partie suivante du courriel contient l'une des lignes suivantes :

Remember this note Please take note this info Keep this info Your account info

suivie de

---> Email: <courriel> ---> Password: <mot de passe> <texte>

<courriel> est une adresse électronique construite aléatoirement pour le nom de domaine choisi précédemment. Le mot de passe est une chaîne aléatoire. <texte> est choisi aléatoirement parmi les suivants :

• [please change it after registration]
• (You can change it later)
• (temp. pwd only)
• (temporary password).

La ligne suivante du courriel se présente sous la forme <aléatoire1> site Web vers <aléatoire2> http://www.<domaine> .

où <aléatoire1> est choisi parmi :

Please check our Visit our Goto our Logon to

et <aléatoire2> est choisi parmi :

know about account features learn about our features get more info find out our services.

La dernière ligne se présente sous la forme <aléatoire1>ormation <aléatoire2>. où <aléatoire1> est choisi parmi :

Saved Email account Your credential Your account NOTE: All your account

et <aléatoire2> est choisi parmi :

has been saved. Please check when needed can be found at your email attachment has been clipped to your email already included into your email has been attached as a file and ready to be printed.

Le courriel se termine par une forme de politesse <aléatoire1>, <domaine> <aléatoire2>

où <aléatoire1> est choisi parmi : By Thank you Your sincerely Regard

et <aléatoire2> parmi :

Help Team Technical Support Customer Services Administrator Services Team Team.

Par exemple, le courriel se présente ainsi : Welcome Sir/Madam,

We have installed our anti-spam tools to protect your email. Please check our website at http://www.microsoft.com to know about account features.

Your account info:

---> Email: inet@microsoft.com ---> Password: 2aff (temporary password)

Please check our website to learn about our features http://www.microsoft.com .

Your account information has been saved. Please check when needed.

Your sincerely, microsoft.com Team