Forte
Récapitulatif
Récapitulatif
Action- Plus d'informations
| Comment il se propage |
|
|---|---|
| Systèmes d'exploitation affectés | Windows |
| Caractéristiques |
|
| Protection disponible depuis | 7 avril 2005 08:44:51 (GMT) |
| Détecté par | Tous les produits Sophos |
Détection des virus gratuite
- Détection gratuite des virus et spywares
- Vérification de votre protection antivirus actuelle
- Votre antivirus est-il vraiment efficace ?
Action
- Récapitulatif
- Action
- Plus d'informations
Veuillez suivre les instructions de suppression des vers.
Changez toutes les données qui peuvent avoir été compromises.
Si elles sont présentes, vous devez aussi modifier les entrées suivantes du registre. Veuillez lire l'avertissement concernant la modification du registre.
Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre.
Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.
Recherchez les entrées HKEY_LOCAL_MACHINE :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
et supprimez les références à tous les fichiers que vous avez supprimés.
Fermez l'éditeur du registre.
Plus d'informations
- Récapitulatif
- Action
- Plus d'informations
W32/Rbot-AAF est un ver de réseau qui tente de se propager via des partages réseau. Tout en fonctionnant en tâche de fond, le ver contient des fonctions de porte dérobée qui permettent via des canaux IRC un accès distant non autorisé à l'ordinateur infecté.
Le ver se propage sur les partages réseau protégés par des mots de passe faibles et aussi en utilisant les failles de sécurité LSASS (MS04-011), RPC-DCOM (MS03-039) et WebDav (MS03-007).
Une fois installé, W32/Rbot-AAF tente de participer à des attaques par déni de service distribué (DDoS), de télécharger des fichiers depuis Internet et de les exécuter, de dérober des clés de CD-ROM, d'enregistrer des frappes de touches et d'ouvrir une session sur des serveurs MS SQL et d'envoyer des commandes EXEC pour ouvrir un shell de commandes lorsque l'attaquant distant l'ordonne.
W32/Rbot-AAF peut essayer d'exploiter les portes dérobées et les failles utilisées par la famille de vers MyDoom. W32/Rbot-AAF est un ver de réseau qui tente de se propager via des partages réseau. Tout en fonctionnant en tâche de fond, le ver contient des fonctions de porte dérobée qui permettent via des canaux IRC un accès distant non autorisé à l'ordinateur infecté.
Le ver se propage sur les partages réseau protégés par des mots de passe faibles et aussi en utilisant les failles de sécurité LSASS (MS04-011), RPC-DCOM (MS03-039) et WebDav (MS03-007).
Lorsqu'il est exécuté, W32/Rbot-AAF se déplace dans le dossier système Windows sous la forme d'un fichier système caché en lecture seule appelé wuanguard32.exe.
Le ver crée alors dans le registre les entrées suivantes :
HKCU\Software\Microsoft\OLE wuanguard wuanguard32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices wuanguard wuanguard32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run wuanguard wuanguard32.exe
Une fois installé, W32/Rbot-AAF tente de participer à des attaques par déni de service distribué (DDoS), de télécharger des fichiers depuis Internet et de les exécuter, de dérober des clés de CD-ROM, d'enregistrer des frappes de touches et d'ouvrir une session sur des serveurs MS SQL et d'envoyer des commandes EXEC pour ouvrir un shell de commandes lorsque l'attaquant distant l'ordonne.
W32/Rbot-AAF peut essayer d'exploiter les portes dérobées et les failles utilisées par la famille de vers MyDoom.
|
