Forte
Récapitulatif
Récapitulatif
Action- Plus d'informations
| Systèmes d'exploitation affectés | Windows |
|---|---|
| Protection disponible depuis | 1 mars 2004 11:41:57 (GMT) |
| Dernière mise à jour | 10 mars 2004 23:25:41 (GMT) |
| Détecté par | Tous les produits Sophos |
Détection des virus gratuite
- Détection gratuite des virus et spywares
- Vérification de votre protection antivirus actuelle
- Votre antivirus est-il vraiment efficace ?
Action
- Récapitulatif
- Action
- Plus d'informations
Veuillez suivre les instructions de suppression des vers.
Windows NT/2000/XP/2003
Dans Windows NT/2000/XP/2003, vous devrez aussi modifier l'entrée suivante du registre. La suppression de cette entrée est facultative dans Windows 95/98/Me. Veuillez lire l'avertissement concernant la modification du registre.
Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre.
Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.
Recherchez l'entrée HKEY_LOCAL_MACHINE :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ ICQNet = <WINDOWS>\winlogon.exe -stealth
et supprimez-la si elle existe.
Fermez l'éditeur du registre.
Plus d'informations
- Récapitulatif
- Action
- Plus d'informations
W32/Netsky-D est un ver qui se propage par messagerie électronique et en se copiant sur les dossiers racine des lecteurs réseau disponibles. En s'envoyant par messagerie électronique, il peut falsifier l'adresse de courriel disponible.
W32/Netsky-D peut arriver dans un message avec les caractéristiques suivantes :
Objet : choisi parmi les suivants :
Re: Approved Re: Details Re: Document Re: Excel file Re: Hello Re: Here Re: Here is the document Re: Hi Re: My details Re: Re: Document Re: Re: Message Re: Re: Re: Your document Re: Re: Thanks! Re: Thanks! Re: Word file Re: Your archive Re: Your bill Re: Your details Re: Your document Re: Your letter Re: Your music Re: Your picture Re: Your product Re: Your software Re: Your text Re: Your website
Corps du message : choisi parmi les suivants :
Your file is attached. Please read the attached file. Please have a look at the attached file. See the attached file for details. Here is the file. Your document is attached.
Pièce jointe : choisie parmi les suivantes :
all_document.pif application.pif document.pif document_4351.pif document_excel.pif document_full.pif document_word.pif message_details.pif message_part2.pif mp3music.pif my_details.pif your_archive.pif your_bill.pif your_details.pif your_document.pif your_file.pif your_letter.pif your_picture.pif your_product.pif your_text.pif your_website.pif yours.pif
Lorsqu'il est exécuté pour la première fois, W32/Netsky-D se copie dans le dossier Windows sous le nom winlogon.exe et crée dans le registre l'entrée suivante de manière à ce que winlogon.exe soit automatiquement exécuté à chaque démarrage de Windows :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ICQ Net = <WINDOWS>\winlogon.exe -stealth
Pour trouver des adresses électroniques, W32/Netsky-D recherche sur tous les lecteurs mappés des fichiers ayant les extensions suivantes : MSG, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT et EML
W32/Netsky-D tente de supprimer les entrées suivantes du registre :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\au.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\d3dupdate.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Explorer HKCU\Software\Microsoft\Windows\CurrentVersion\Run\KasperskyAv HKCU\Software\Microsoft\Windows\CurrentVersion\Run\OLE HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Taskmon HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DELETE ME HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KasperskyAv HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msgsvr32 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Sentry HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\service HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\system HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
W32/Netsky-D recherche les adresses IP suivantes : 62.155.255.16 145.253.2.171 151.189.13.35 193.193.158.10 193.193.144.12 193.189.244.205 193.141.40.42 194.25.2.129 194.25.2.130 194.25.2.131 194.25.2.132 194.25.2.133 194.25.2.134 195.185.185.195 195.20.224.234 212.185.252.136 212.7.128.162 212.7.128.165 212.185.253.70 212.185.252.73 212.44.160.8 213.191.74.19 217.5.97.137
W32/Netsky-D tente de supprimer certaines entrées du registre, y compris celles associées aux vers W32/MyDoom-A et W32/MyDoom-B d'une façon semblable aux variantes précédentes.
Si le ver a été exécuté le 2 mars 2004 entre 06:00 et 08:59 du matin, votre ordinateur a pu émettre des bips sporadiques.
|
