Antivirus and Security Software from Sophos

W32/Vanebot-Q

Alias
  • Backdoor.Win32.VanBot.u
  • W32/Sdbot.worm!MS06-040
  • Win32/IRCBot.UG
  • BKDR_VANBOT.U
Catégorie
Type
Action à mener
Prévalence faible Forte

Récapitulatif

 
Comment il se propage
  • Partages réseau
  • Programmes de chat
Systèmes d'exploitation affectés Windows
Caractéristiques
  • S'installe dans le registre
Protection disponible depuis 2 octobre 2006 21:41:40 (GMT)
Détecté par Tous les produits Sophos
Download Détection des virus gratuite
Test de détection des menaces
  • Détection gratuite des virus et spywares
  • Vérification de votre protection antivirus actuelle
  • Votre antivirus est-il vraiment efficace ?

Action

Plus d'informations

W32/Vanebot-Q est un ver et une porte dérobée IRC pour la plate-forme Windows.

W32/Vanebot-Q se propage sur d'autres ordinateurs du réseau en exploitant les failles usuelles de dépassement de tampon comme : SRVSVC (MS06-040) et ASN.1 (MS04-007) sur des serveurs MSSQL protégés par des mots de passe faibles sur des partages réseau via MSN Messenger via Yahoo Instant Messenger

W32/Vanebot-Q fonctionne en permanence en tâche de fond, fournissant un serveur de porte dérobée qui permet à un intrus distant de prendre l'accès et le contrôle de l'ordinateur via les canaux IRC.W32/Vanebot-Q est un ver et une porte dérobée IRC pour la plate-forme Windows.

W32/Vanebot-Q se propage sur d'autres ordinateurs du réseau en exploitant les failles usuelles de dépassement de tampon comme : SRVSVC (MS06-040) et ASN.1 (MS04-007) sur des serveurs MSSQL protégés par des mots de passe faibles sur des partages réseau via MSN Messenger via Yahoo Instant Messenger

Lorsqu'il est exécuté pour la première fois, W32/Vanebot-Q se copie dans <dossier système Windows>\dllcache\sidmeier.exe.

Le fichier sidmeier.exe est enregistré en tant que nouveau service pilote du système sous le nom "Sid Meier's Alpha Centauri Planetary Pack", apparaît sous le nom "Sid Meier's Alpha Centauri Planetary Pack" avec un type de démarrage automatique permettant de l'exécuter automatiquement au démarrage du système. Des entrées de registre sont créées sous :

HKLM\SYSTEM\CurrentControlSet\Services\Sid Meier's Alpha Centauri Planetary Pack\

W32/Vanebot-P paramètre les entrées de registre suivantes désactivant le démarrage automatique d'autres logiciels :

HKLM\SYSTEM\CurrentControlSet\Services\wuauserv Start 4

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess Start 4

Remarque: la désactivation du démarrage automatique du service SharedAccess entraîne la désactivation du pare-feu de connexion Internet (ICF) de Microsoft.

Des entrées de registre sont paramétrées comme suit :

HKLM\SOFTWARE\Microsoft\Ole EnableDCOM N

HKLM\SYSTEM\CurrentControlSet\Control\Lsa lmcompatibilitylevel 1

HKLM\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous 1

RSS|Atom
Rapports sur les menaces de virus et de spywares les plus récentes envoyées à votre ordinateur