Forte
Récapitulatif
Récapitulatif
Action- Plus d'informations
| Protection disponible depuis | 3 juin 2004 13:47:48 (GMT) |
|---|---|
| Détecté par | Tous les produits Sophos |
Détection des virus gratuite
- Détection gratuite des virus et spywares
- Vérification de votre protection antivirus actuelle
- Votre antivirus est-il vraiment efficace ?
Action
- Récapitulatif
- Action
- Plus d'informations
Veuillez suivre les instructions de suppression des vers.
Plus d'informations
- Récapitulatif
- Action
- Plus d'informations
W32/Sdbot-IU est un ver qui tente de se propager sur les partages réseau distants. Il comporte aussi des fonctionnalités d'un cheval de Troie de porte dérobée, permettant un accès distant non autorisé à l'ordinateur infecté via des canaux IRC tout en fonctionnant en tâche de fond sous la forme d'un processus de service.
W32/Sdbot-IU se copie dans le dossier système Windows sous les noms WNETLOGIN.EXE et COOL.EXE et, pour s'exécuter au démarrage du système, crée des entrées de registre aux emplacements suivants :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft System Checkup
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Microsoft System Checkup
Pour que le fichier nommé SYSLOG32.EXE soit exécuté au démarrage du système, bien qu’aucun fichier de ce nom ne soit formellement injecté, W32/Sdbot-IU paramètre aussi l'entrée du registre suivante :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NT Logging Service
W32/Sdbot-IU se propage sur des partages réseau protégés par des mots de passe faibles suite à la réception par le cheval de Troie de porte dérobée de la commande appropriée envoyée par l’utilisateur distant, en se copiant dans le dossier de démarrage du Menu Démarrer Windows.
W32/Sdbot-IU tente de supprimer le fichier journal du système de Sécurité.
W32/Sdbot-IU tente de télécharger et d’exécuter plusieurs fichiers dans le dossier Temp. A l'heure où nous écrivons, ces fichiers ne sont pas disponibles.
W32/Sdbot-IU tente de mettre fin à plusieurs programmes associés aux logiciels antivirus et de sécurité.
W32/Sdbot-IU modifie aussi le fichier HOSTS présent dans %WINDOWS%\System32\Drivers\etc\HOSTS, en réorientant les sites web antivirus sélectionnés vers l’adresse de retour 127.0.0.1 afin d'empêcher l'accès à ces sites. Généralement, les réorientations suivantes sont ajoutées au fichier HOSTS :
127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.trendmicro.com
|
