W32/Zotob-A

Veuillez suivre les instructions de suppression des vers.

W32/Zotob-A est un ver et un cheval de Troie de porte dérobée pour la plate-forme Windows.

W32/Zotob-A se propage sur d’autres ordinateurs du réseau en exploitant les failles de dépassement de capacité de la mémoire tampon comme LSASS (MS04-011) et PnP (MS05-039).

W32/Zotob-A fonctionne en permanence en tâche de fond, fournissant un serveur de porte dérobée permettant à l’intrus distant d’accéder à l‘ordinateur et d’en prendre le contrôle. W32/Zotob-A est un ver et un cheval de Troie de porte dérobée pour la plate-forme Windows.

W32/Zotob-A se propage sur d’autres ordinateurs du réseau en exploitant les failles de dépassement de capacité de la mémoire tampon comme LSASS (MS04-011) et PnP (MS05-039).

W32/Zotob-A fonctionne en permanence en tâche de fond, fournissant un serveur de porte dérobée permettant à l’intrus distant d’accéder à l‘ordinateur et d’en prendre le contrôle.

Lorsqu’il est exécuté pour la première fois, W32/Zotob-A se copie dans <System>\botzor.exe.

Les entrées suivantes du registre sont créées pour exécuter botzor.exe au démarrage :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WINDOWS SYSTEM botzor.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices WINDOWS SYSTEM botzor.exe

W32/Zotob-A paramètre aussi l’entrée suivante du registre

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess Start 4

W32/Zotob-A remplace le fichier HOSTS pour bloquer l’accès à certains sites Web (y compris des sites Web antivirus).

Les correctifs des failles de systèmes d'exploitation exploitées par W32/Zotob-A sont disponibles auprès de Microsoft à :

MS04-011 MS05-039