Antivirus and Security Software from Sophos

W32/SXTB-B

Alias
  • Backdoor.SdBot.gen
  • W32/Sdbot.worm.gen
  • BKDR_SDBOT.GEN
Catégorie
Type
Action à mener
Prévalence faible Forte

Récapitulatif

 
Protection disponible depuis 6 janvier 2004 10:37:00 (GMT)
Détecté par Tous les produits Sophos
Download Détection des virus gratuite
Test de détection des menaces
  • Détection gratuite des virus et spywares
  • Vérification de votre protection antivirus actuelle
  • Votre antivirus est-il vraiment efficace ?

Action

Veuillez suivre les instructions de suppression des vers.

Vérifiez vos mots de passe administrateur ainsi que la sécurité de votre réseau Vous devrez aussi modifier l'entrée suivante du registre. La suppression de cette entrée est facultative dans Windows 95/98/Me. Veuillez lire l'avertissement concernant la modification du registre. Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre. Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup. Recherchez les entrées sous HKEY_LOCAL_MACHINE : HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices et supprimez-les si elles existent. Fermez l'éditeur du registre.

Plus d'informations

W32/SXTB-B est un ver qui essaie de se propager indirectement par des canaux IRC et qui est aussi capable de se propager sur les partages réseau avec des mots de passe triviaux. Le ver permet un accès à distance non autorisé sur l'ordinateur via des canaux IRC. W32/SXTB-B se copie dans le dossier système de Windows sous le nom de fichier ADVAPI.EXE et crée dans la base de registre des entrées aux emplacements suivants pour s'exécuter au redémarrage du système : HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Le ver incite les utilisateurs IRC qui joignent la session en cours de télécharger et d'exécuter une copie du ver en leur envoyant le message suivant :
"It has recently been reported that there is a major bug in -mIRC6.12, allowing malicous users to execute commands remotely, update your mIRC with a patch file you can get it from http://mirc-update.misecure.com/mircupdate/mirc6.13.exe and help us eradicate this threat, ENJOY & Happy New Year! - Network Security Team" W32/SXTB-B essaie de se connecter sur un canal IRC prédéfini et attend des commandes émises à distance. Si le ver reçoit la commande appropriée, il essaie de se copier sur les partages réseau avec une liste prédéfinie de noms utilisateurs (par ex. administrator) et de mots de passe (par ex. password123).

RSS|Atom
Rapports sur les menaces de virus et de spywares les plus récentes envoyées à votre ordinateur