Forte
Récapitulatif
Récapitulatif
Action- Plus d'informations
| Comment il se propage |
|
|---|---|
| Systèmes d'exploitation affectés | Windows |
| Caractéristiques |
|
| Protection disponible depuis | 12 mai 2004 10:02:59 (GMT) |
| Détecté par | Tous les produits Sophos |
Détection des virus gratuite
- Détection gratuite des virus et spywares
- Vérification de votre protection antivirus actuelle
- Votre antivirus est-il vraiment efficace ?
Action
- Récapitulatif
- Action
- Plus d'informations
Veuillez suivre les instructions de suppression des vers.
Plus d'informations
- Récapitulatif
- Action
- Plus d'informations
W32/Rbot-I est un ver qui tente de se propager sur des partages réseau distants. Il contient par ailleurs les fonctionnalités de porte dérobée d'un cheval de Troie, permettant un accès distant non autorisé à l'ordinateur infecté via des canaux IRC tout en fonctionnant en tâche de fond sous la forme d'un processus de service.
W32/Rbot-I se propage sur des partages réseau protégés par des mots de passe faibles suite à la réception par l'élément cheval de Troie de porte dérobée de la commande appropriée envoyée par un utilisateur distant.
W32/Rbot-I se copie dans le dossier système Windows sous le nom NAVMGRD.EXE.
Pour s'exécuter au démarrage du système, W32/Rbot-I crée des entrées dans le registre aux emplacements suivants et les paramètre toutes les 60 secondes qu'il est exécuté :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion\Run
W32/Rbot-I paramètre les entrées suivantes du registre toutes les 120 secondes :
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N" HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"
W32/Rbot-I essaie aussi de supprimer les partages réseau sur l'ordinateur hôte, notamment C$, D$ et ADMIN$ toutes les 120 secondes.
|
