Antivirus and Security Software from Sophos

W32/Sonebot-B

Alias
  • Backdoor.Agobot.dr
  • W32/Sdbot.worm
  • W32.HLLW.Gaobot.gen
Catégorie
Type
Action à mener
Prévalence faible Forte

Récapitulatif

 
Protection disponible depuis 5 avril 2004 16:11:43 (GMT)
Détecté par Tous les produits Sophos
Download Détection des virus gratuite
Test de détection des menaces
  • Détection gratuite des virus et spywares
  • Vérification de votre protection antivirus actuelle
  • Votre antivirus est-il vraiment efficace ?

Action

Veuillez suivre les instructions de suppression des vers.

Vérifiez vos mots de passe administrateur ainsi que la sécurité de votre réseau.

Si elles sont présentes, vous devez aussi modifier les entrées suivantes du registre. Veuillez lire l'avertissement concernant la modification du registre.

Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre.

Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.

Recherchez les entrées HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Kernel_check = wmiprvse.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ Kernel_check = wmiprvse.exe

et supprimez-les si elles existent.

Fermez l'éditeur du registre.

Plus d'informations

W32/Sonebot-B est un ver de réseau qui comporte des fonctionnalités de porte dérobée IRC qui permettent un accès distant non autorisé à un ordinateur infecté.

Ce ver se copie sur les partages réseau protégés par des mots de passe peu sûrs, lance en tâche de fond un processus distant, se connecte à un serveur IRC distant et joint un canal spécifique.

W32/Sonebot-B injecte une copie de lui-même dans le dossier Windows System32 avec le nom de fichier WMIPRVSE.EXE et, pour exécuter la copie au démarrage du système, paramètre dans le registre les entrées suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Kernel_check = wmiprvse.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ Kernel_check = wmiprvse.exe

W32/Sonebot-B tente aussi de terminer un certain nombre de processus et de supprimer un certain nombre de fichiers issus de l'ordinateur infecté.

Ce ver peut aussi paramétrer les entrées suivantes du registre :

HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\ AutoShareServer = <valeur> AutoShareWks = <valeur>

HKLM\System\CurrentControlSet\Control\lsa\ RestrictAnonymous = <valeur> RestrictAnonymousSam = <valeur>

RSS|Atom
Rapports sur les menaces de virus et de spywares les plus récentes envoyées à votre ordinateur