W32/Sdbot-RY

Veuillez suivre les instructions de suppression des vers.

W32/Sdbot-RY est un ver ainsi qu'une porte dérobée pour la plate-forme Windows. Le composant du ver tente de se propager sur des partages réseau distants tandis que la porte dérobée permet à un utilisateur malveillant d'accéder à distance à un ordinateur infecté via les canaux IRC tout en fonctionnant en tâche de fond en tant que processus de service. W32/Sdbot-RY est un ver ainsi qu'une porte dérobée pour la plate-forme Windows.
Le composant du ver tente de se propager sur des partages réseau distants tandis que la porte dérobée permet à un utilisateur malveillant d'accéder à distance à un ordinateur infecté via les canaux IRC tout en fonctionnant en tâche de fond en tant que processus de service.

W32/Sdbot-RY se copie dans le dossier Système Windows sous le nom de fichier spoolsvc.exe et, pour s'exécuter automatiquement au démarrage de Windows, crée les entrées de registre suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Win32 System Spool=spoolsvc.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Win32 System Spool=spoolsvc.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Win32 System Spool=spoolsvc.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Win32 System Spool=spoolsvc.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Win32 System Spool=spoolsvc.exe.

W32/Sdbot-RY tente de se propager sur des machines connectées au réseau en exploitant plusieurs failles dont la faille LSASS (voir MS04-011).

W32/Sdbot-RY peut fonctionner en tant que serveur proxy, supprimer des partages réseau et voler des informations concernant des jeux populaires.