W32/Zotob-B

Veuillez suivre les instructions de suppression des vers.

W32/Zotob-B est un ver et un cheval de Troie de porte dérobée pour la plate-forme Windows.

W32/Zotob-B se propage sur d’autres ordinateurs du réseau en exploitant les failles de dépassement de capacité de la mémoire tampon comme LSASS (MS04-011) et PnP (MS05-039).

W32/Zotob-B fonctionne en permanence en tâche de fond, fournissant un serveur de porte dérobée permettant à l’intrus distant d’accéder à l‘ordinateur et d’en prendre le contrôle.

Les correctifs des failles de systèmes d'exploitation exploitées par W32/Zotob-A sont disponibles auprès de Microsoft à :

MS04-011 MS05-039 W32/Zotob-B est un ver et un cheval de Troie de porte dérobée pour la plate-forme Windows.

W32/Zotob-B se propage sur d’autres ordinateurs du réseau en exploitant les failles de dépassement de capacité de la mémoire tampon comme LSASS (MS04-011) et PnP (MS05-039).

W32/Zotob-B fonctionne en permanence en tâche de fond, fournissant un serveur de porte dérobée permettant à l’intrus distant d’accéder à l‘ordinateur et d’en prendre le contrôle.

Lorsqu’il est exécuté pour la première fois, W32/Zotob-B se copie dans <System>\csm.exe et crée les entrées suivantes du registre pour un démarrage automatique :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run csm Win Updates csm.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices csm Win Updates csm.exe

W32/Zotob-B paramètre les entrées suivantes du registre, ce qui désactive le démarrage automatique des autres logiciels :

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess Start 4

W32/Zotob-B remplace le fichier HOSTS pour bloquer l’accès à certains sites Web (y compris des sites Web antivirus).

Les correctifs des failles de systèmes d'exploitation exploitées par W32/Zotob-B sont disponibles auprès de Microsoft à :

MS04-011 MS05-039