Forte
Récapitulatif
Récapitulatif
Action- Plus d'informations
| Détecté par | Tous les produits Sophos |
|---|---|
Détection des virus gratuite
- Détection gratuite des virus et spywares
- Vérification de votre protection antivirus actuelle
- Votre antivirus est-il vraiment efficace ?
Action
- Récapitulatif
- Action
- Plus d'informations
Veuillez suivre les instructions de suppression des vers.
Veuillez lire les instructions pour supprimer les vers.
Windows NT/2000
Sous Windows NT/2000 vous aurez besoin de supprimer la clé de registre. La suppression de cette clé est optionnel sous Windows 95/98/Me.
Dans la barre des tâches, sélectionnez Démarrer|Exécuter. Entrez 'Regedit' et validez. L'Editeur de registre s'ouvrira.
Avant d'éditer le registre, vous devrez faire une sauvegarde du registre. Dans le menu Registre, cliquez sur Exporter le fichier du registre, dans Etendue de l'exportation, sélectionnez Tout puis sauvegardez votre registre.
Recherchez l'entrée sous HKEY_LOCAL_MACHINE :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Update = Update.exe
et supprimez-la si elle existe
Fermez l'éditeur de registre et redémarrez votre ordinateur.
Plus d'informations
- Récapitulatif
- Action
- Plus d'informations
W32/Updatr-A est un ver de messagerie qui s'envoie par e-mail à toutes les personnes présentes dans le carnet d'adresses de l'utilisateur.
L'objet de l'e-mail et les noms des pièces jointes sont variables.
L'objet est créé à partir de quatre parties séparées.
La première partie sera choisie au hasard parmi :
'Have you',
'You should',
'Just',
'Why Not You',
'How to',
'Re:',
' '
La seconde partie est choisie à partir de :
'Check',
'Check out',
'Watch out',
'Open',
'Look at'
La troisième partie est choisie à partir de :
'this',
'my',
'For this',
'The'
La quatrième partie est choisie à partir de :
'Picture',
'Program',
'Patch',
'Nude pic',
'Report',
'Document',
'Quotation',
'Transaction',
'Bank Account',
'WTC Tragedy',
'Osama Vs Bush',
'Account',
'Private Pic'.
Ainsi, l'objet peut avoir différentes variantes incluant :
"You should Watch out For this Program",
"Just Open my Bank Account",
"Why Not You Look at The Patch".
Le nom du ver joint sera l'un des suivants : Setup.exe, install.exe, Readme.exe, Files.exe, Picture.exe, Quotation.Doc.exe, letter.doc.exe or Picture.jpg.exe.
Lors de sa première exécution, le ver se copie dans le répertoire de Windows en utilisant l'un des noms de pièces jointes cités ci-dessus et le nom update.exe. Il crée l'entrée
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Update = Update.exe
dans la base de registre pour qu'il s'exécute automatiquement à chaque fois que la machine est redémarrée.
Le ver change aussi le nom de volume du disque dur à IMELDA (dans l'Explorateur, vous verrez IMELDA (C:)).
Le corps du message de l'e-mail est le suivant :
Hi:
This is the file you ask for, Please save it to disk and open this file,
it is very important
A chaque fois que le virus est exécuté, il affiche une boîte de message avec le titre :
File Open Error
et le texte :
Cannot Open files: it does not appear to be a valid archive ...
Le ver crée aussi le script Update.vbs dans le dossier Startup.
Ce script recherche les fichiers avec l'extension .EXE, .DOC ou .VBS. Le script crée alors une copie de lui-même avec le même nom mais avec l'extension supplémentaire .VBS. Par exemple, si le script trouve un fichier nommé Frog.exe, il créera une copie nommée Frog.exe.vbs.
Le script Update.vbs, qui est exécuté automatiquement à chaque fois que l'utilisateur redémarre l'ordinateur, affiche la boîte de message suivant, si le jour est le 12. Il a le title :
I-WORM.IMELDA.B
et le texte :
Hi there.., you are infected by some of IWING creations.., have a nice day
|
