Antivirus and Security Software from Sophos

W32/Sdbot-KW

Alias
  • Backdoor.SdBot.gen
Catégorie
Type
Action à mener
Prévalence faible Forte

Récapitulatif

 
Protection disponible depuis 30 juillet 2004 08:53:40 (GMT)
Dernière mise à jour 24 août 2004 14:09:40 (GMT)
Détecté par Tous les produits Sophos
Download Détection des virus gratuite
Test de détection des menaces
  • Détection gratuite des virus et spywares
  • Vérification de votre protection antivirus actuelle
  • Votre antivirus est-il vraiment efficace ?

Action

Veuillez suivre les instructions de suppression des vers.

Changez toutes les données qui peuvent avoir été compromises.

Si elles sont présentes, vous devez aussi modifier les entrées suivantes du registre. Veuillez lire l'avertissement concernant la modification du registre.

Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre.

Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.

Recherchez les entrées HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

et supprimez toutes les références aux fichiers que vous avez supprimé.

Chaque utilisateur dispose d'une zone de registre nommée HKEY_USERS\[numéro de code indiquant l'utilisateur]\. Pour chaque utilisateur, recherchez l'entrée :

HKU\[numéro de code]\Software\Microsoft\Windows\ CurrentVersion\Run\

et supprimez toutes les références aux fichiers que vous avez supprimé.

Fermez l’éditeur du registre.

Plus d'informations

W32/Sdbot-KW est un ver qui tente de se propager sur les partages réseau distants. Il comporte aussi des fonctionnalités d'un cheval de Troie de porte dérobée, permettant un accès distant non autorisé à l'ordinateur infecté via des canaux IRC tout en fonctionnant en tâche de fond sous la forme d'un processus de service.

W32/Sdbot-KW se propage sur des partages réseau protégés par des mots de passe faibles suite à la réception par le cheval de Troie de porte dérobée de la commande appropriée envoyée par l’utilisateur distant.

W32/Sdbot-KW se copie dans le dossier Système Windows sous le nom IEXPLORE.EXE et, pour s'exécuter au démarrage du système, crée des entrées de registre aux emplacements suivants :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Configuration Loader = IEXPLORE.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ Configuration Loader = IEXPLORE.EXE

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ Configuration Loader = IEXPLORE.EXE

W32/Sdbot-KW peut supprimer les lecteurs de réseau partagé et recueillir les clés de CD-ROM de nombreux jeux populaires sur ordinateur et d’applications.

RSS|Atom
Rapports sur les menaces de virus et de spywares les plus récentes envoyées à votre ordinateur