Forte
Récapitulatif
Récapitulatif
Action- Plus d'informations
| Comment il se propage |
|
|---|---|
| Systèmes d'exploitation affectés | Windows |
| Caractéristiques |
|
| Protection disponible depuis | 9 juin 2005 21:42:30 (GMT) |
| Détecté par | Tous les produits Sophos |
Détection des virus gratuite
- Détection gratuite des virus et spywares
- Vérification de votre protection antivirus actuelle
- Votre antivirus est-il vraiment efficace ?
Action
- Récapitulatif
- Action
- Plus d'informations
Veuillez suivre les instructions de suppression des vers.
Plus d'informations
- Récapitulatif
- Action
- Plus d'informations
W32/Kassbot-F est un ver de réseau avec des fonctionnalités de porte dérobée pour la plate-forme Windows.
W32/Kassbot-F tente de se propager en exploitant les failles LSASS. Les correctifs suivants des failles de système d’exploitation exploitées par W32/Kassbot-F sont disponibles sur le site Web de Microsoft :
W32/Kassbot-F surveille l’accès Internet de l’utilisateur. Lorsque certains sites Internet bancaires et financiers font l'objet d’un accès, le ver redirige l’utilisateur vers un site Web russe avec de fausses pages de connexion ou envoie par courriel les détails volés à une adresse électronique préspécifiée. W32/Kassbot-F est un ver de réseau avec des fonctionnalités de porte dérobée pour la plate-forme Windows.
W32/Kassbot-F fonctionne en permanence en tâche de fond, fournissant un serveur de porte dérobée qui permet à l’intrus distant d’accéder à l’ordinateur et d’en prendre le contrôle.
W32/Kassbot-F inclut des fonctionnalités pour accéder à Internet et communiquer avec un serveur distant via HTTP.
Lorsqu’il est exécuté pour la première fois, W32/Kassbot-F se copie dans le <dossier système Windows>\spools.exe et crée le fichier
<dossier système Windows>\xbccd.log.
L’entrée suivante du registre est créée pour exécuter spools.exe au démarrage :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Spools Service Controller <dossier système Windows>\spools.exe
W32/Kassbot-F envoie un courriel à une adresse électronique prédéfinie contenant des informations système provenant de l’ordinateur infecté.
W32/Kassbot-F surveille l’accès Internet de l’utilisateur. Lorsque certains sites Internet bancaires et financiers font l'objet d’un accès, le ver redirige l’utilisateur vers un site Web russe avec de fausses pages de connexion ou envoie par courriel les détails volés à une adresse électronique préspécifiée. Les sites bancaires sont les suivants :
Bank One Australia Barclays Citibank EzyBank Halifax HSBC LloydsTSB NatWest NetBank
W32/Kassbot-F tente de se propager en exploitant les failles LSASS. Les correctifs suivants des failles de système d’exploitation exploitées par W32/Kassbot-F sont disponibles sur le site Web de Microsoft :
W32/Kassbot-F ajoute les lignes suivantes dans le fichier HOSTS afin de bloquer l’accès aux sites Web antivirus :
17.145.117.11 d-eu-1f.kaspersky-labs.com 17.145.117.11 d-eu-1h.kaspersky-labs.com 17.145.117.11 d-eu-2f.kaspersky-labs.com 17.145.117.11 d-eu-2h.kaspersky-labs.com 17.145.117.11 d-ru-1f.kaspersky-labs.com 17.145.117.11 d-ru-1h.kaspersky-labs.com 17.145.117.11 d-ru-2f.kaspersky-labs.com 17.145.117.11 d-ru-2h.kaspersky-labs.com 17.145.117.11 d-us-1f.kaspersky-labs.com 17.145.117.11 d-us-1h.kaspersky-labs.com 17.145.117.11 downloads1.kaspersky.ru 17.145.117.11 downloads2.kaspersky.ru 17.145.117.11 downloads3.kaspersky.ru 17.145.117.11 downloads4.kaspersky.ru 17.145.117.11 downloads5.kaspersky.ru 17.145.117.11 kaspersky-labs.com 17.145.117.11 kaspersky.ru 17.145.117.11 www.kaspersky-labs.com 17.145.117.11 www.kaspersky.ru
|
