Forte
Récapitulatif
Récapitulatif
Action- Plus d'informations
| Protection disponible depuis | 28 septembre 2003 09:46:40 (GMT) |
|---|---|
| Détecté par | Tous les produits Sophos |
Détection des virus gratuite
- Détection gratuite des virus et spywares
- Vérification de votre protection antivirus actuelle
- Votre antivirus est-il vraiment efficace ?
Action
- Récapitulatif
- Action
- Plus d'informations
Veuillez suivre les instructions de suppression des vers.
Veuillez suivre les instructions de suppression des vers.
Vous aurez aussi besoin d'éditer dans la base de registre les entrées suivantes. Veuillez lire l'avertissement sur l'édition de la base de registre.
Dans la barre des tâches de Windows, sélectionnez Démarrer|Exécuter. Tapez "Regedit". L'éditeur de registre s'ouvrira.
Avant d'éditer le registre, vous devrez faire une sauvegarde du registre. Dans le menu Registre, cliquez sur Exporter le fichier du registre, dans Etendue de l'exportation, sélectionnez Tout puis sauvegardez votre registre.
Recherchez l'entrée HKEY_LOCAL_MACHINE :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
SystemInit = %WINDOWS%\iservc.exe
et supprimez-la si elle existe.
Recherchez l'entrée HKEY_CLASSES_ROOT :
HKCR\txtfile\shell\open\command\Default
Changez la valeur de registre à 'notepad.exe %1'
Ne changez rien d'autre.
Fermez l'éditeur de registre.
Plus d'informations
- Récapitulatif
- Action
- Plus d'informations
W32/Fizzer-A est un ver qui possède une fonctionnalité de cheval de Troie de porte dérobée IRC. Il se propage en s'envoyant lui-même par e-mail dans les carnets d'adresses Microsoft Outlook et Windows et à des adresses e-mail aléatoires dans les domaines suivants :
msn.com
hotmail.com
yahoo.com
aol.com
earthlink.net
gte.net
juno.com
netzero.com
L'objet de l'e-mail, son texte de message et le nom de la pièce jointe sont créés de manière aléatoire à l'aide de longues listes de chaînes de caractères.
Les exemples de chaînes de texte message sont :
"So how are you?"
"Check it out"
"There is only one good, knowledge, and on evil, ignorance"
"I sent this program (sparky) from anonymous places on the net"
"you must not show this to anyone"
"Today is a good day to die"
"thought I'd let you know"
"The way to gain a good reputation is to endeavor to be what you desire ..."
"Filth is a death"
"wie geht es Ihnen?"
"Philosophy imputes, reinterprets faith"
"If you don't like it, just delete it"
"delete this as soon as you lokk at it"
"Did you ever stop to think that viruses are good for the economy? ..."
"the incredibly bright faith"
"you don't have to if you don't want to"
"I wonder what can be so bad ..."
"Watchin' the game, having a bud."
"the attachment is only for you to look at"
"Let me know what you think of this..."
Les noms des pièces jointes ont l'extension EXE, COM, PIF ou SCR et peuvent être combinées avec INI pour donner les doubles extensions INI.EXE, INI.COM, INI.PIF ou INI.SCR.
Lorsqu'il est exécuté, W32/Fizzer-A place les fichiers suivants dans le dossier Windows :
initbak.dat
iservc.dll
iservc.exe
ProgOp.exe
Le ver crée par ailleurs les entrées de registre suivantes de manière à ce que le fichier iservc.exe soit exécuté automatiquement chaque fois que l'ordinateur est redémarré et à ce que le fichier ProgOp.exe soit exécuté chaque fois qu'un fichier avec l'extension TXT soit ouvert :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
SystemInit = %WINDOWS%\iservc.exe
HKCR\txtfile\shell\open\command
= %WINDOWS%\ProgOp.exe 0 7 '
ProgOp.exe lance iservc.exe, puis l'éditeur de texte par défaut.
iservc.exe se connecte à un serveur IRC distant, rejoint un canal spécifique, puis fonctionne en continu en arrière-plan, permettant l'accès distant et le contrôle de l'ordinateur via les canaux IRC.
W32/Fizzer-A tente d'interrompre les programmes antivirus sélectionnés.
|
