W32/Hwbot-B

Veuillez suivre les instructions de suppression des vers.

W32/Hwbot-B est un ver de réseau pour la plate-forme Windows.

W32/Hwbot-B se connecte à un serveur IRC et attend les instructions provenant d'un utilisateur distant pouvant lui demander de télécharger et d'exécuter du code supplémentaire ou de se propager via les failles de sécurité du réseau.

W32/Hwbot-B se propage sur les ordinateurs vulnérables à la faille UPnP.

Le correctif des failles du système d'exploitation utilisées par W32/Hwbot-B est disponible sur le site de Microsoft :

MS05-039 (en anglais)W32/Hwbot-B est un ver de réseau pour la plate-forme Windows.

Lorsqu'il est exécuté pour la première fois, W32/Hwbot-B se copie dans <Système>\wpa.exe et crée le fichier <Windows>\Debug\dcpromo.log.

Le fichier wpa.exe est enregistré en tant que nouveau service pilote système sous le nom de "wpa" et s'affichhe sous le nom de "WindowsProduct Activation". Son type de démarrage automatique lui permet d'être lancé automatiquement lors du démarrage du système.

Des entrées de registre sont créées sous :

HKLM\SYSTEM\CurrentControlSet\Services\wpa\

W32/Hwbot-B se connecte à un serveur IRC et attend les instructions provenant d'un utilisateur distant pouvant lui demander de télécharger et d'exécuter du code supplémentaire ou de se propager via les failles de sécurité du réseau.

W32/Hwbot-B se propage sur les ordinateurs vulnérables à la faille UPnP.

Le correctif des failles du système d'exploitation utilisées par W32/Hwbot-B est disponible sur le site de Microsoft :

MS05-039 (en anglais)

Des entrées de registre sont paramétrées comme suit :

HKLM\SOFTWARE\Microsoft\Ole EnableDCOM n

HKLM\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous 1