W32/Sdbot-ACG

Veuillez suivre les instructions de suppression des vers.

Veuillez lire les instructions de suppression de W32/Sdbot-ACG.

W32/Sdbot-ACG est un ver pour la plate-forme Windows.

W32/Sdbot-ACG se propage sur d'autres ordinateurs du réseau en exploitant les failles usuelles de dépassement de tampon, y compris PnP (MS05-039) et LSASS (MS04-011).

W32/Sdbot-ACG fonctionne en permanence en tâche de fond, fournissant un serveur de porte dérobée permettant à l’intrus distant d’accéder à l'ordinateur via des canaux IRC et d’en prendre le contrôle.

W32/Sdbot-ACG inclut des fonctionnalités lui permettant de :

- dérober des informations confidentielles - lancer des attaques par inondation DDoS - télécharger silencieusement, installer et exécuter de nouveaux logiciels - s'injecter dans le processus Explorateur Windows pour se rendre furtif

Lorsqu'il est exécuté pour la première fois, W32/Sdbot-ACG se copie dans <System>\mousebm.exe.

Le fichier mousebm.exe est enregistré en tant que nouveau service pilote du système sous le nom "mousebm", s'affiche sous le nom de"Mouse Button Monitor" et dispose d'un type de démarrage automatique afin d'être exécuté automatiquement au démarrage du système. Des entrées de registre sont créées sous :

HKLM\SYSTEM\CurrentControlSet\Services\mousebm\

W32/Sdbot-ACG crée le fichier \Debug\dcpromo.log qui peut être supprimé.

Des entrées de registre sont paramétrées comme suit :

HKLM\SOFTWARE\Microsoft\Ole EnableDCOM n

HKLM\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous 1

Les correctifs des failles du système d'exploitation utilisées par W32/Rbot-ACG sont disponibles sur le site web de Microsoft aux liens suivants :

MS05-039 MS04-011