Forte
Récapitulatif
Récapitulatif
Action- Plus d'informations
| Comment il se propage |
|
|---|---|
| Systèmes d'exploitation affectés | Windows |
| Protection disponible depuis | 16 août 2005 04:47:15 (GMT) |
| Détecté par | Tous les produits Sophos |
Détection des virus gratuite
- Détection gratuite des virus et spywares
- Vérification de votre protection antivirus actuelle
- Votre antivirus est-il vraiment efficace ?
Action
- Récapitulatif
- Action
- Plus d'informations
Veuillez suivre les instructions de suppression des vers.
Plus d'informations
- Récapitulatif
- Action
- Plus d'informations
W32/Zotob-C est un ver de messagerie et un cheval de Troie de porte dérobée pour la plate-forme Windows.
W32/Zotob-C se propage par courriel et sur d'autres ordinateurs du réseau en exploitant les failles de dépassement de tampon usuelles, y compris LSASS (MS04-011) et PnP (MS05-039).
W32/Zotob-C fonctionne en permanence en tâche de fond, fournissant un serveur de porte dérobée permettant à l’intrus distant d’accéder à l‘ordinateur et d’en prendre le contrôle.
Le courriel envoyé par W32/Zotob-C a les caractéristiques suivantes :
Objet :
Warning!! **Warning** Hello Confirmed... Important!
Texte du message :
looooool We found a photo of you in ... That's your photo!!? hey!! 0K here is it!
Le fichier attaché peut avoir un nom généré aléatoirement ou l'un des suivants :
photo your_photo image picture sample loool webcam_photo
avec une extension BAT, CMD, EXE, PIF ou SCR.
L'adresse de l'expéditeur ('De') est usurpée.W32/Zotob-C est un ver de messagerie et un cheval de Troie de porte dérobée pour la plate-forme Windows.
W32/Zotob-C se propage par courriel et sur d'autres ordinateurs du réseau en exploitant les failles de dépassement de tampon usuelles, y compris LSASS (MS04-011) et PnP (MS05-039).
W32/Zotob-C fonctionne en permanence en tâche de fond, fournissant un serveur de porte dérobée permettant à l’intrus distant d’accéder à l‘ordinateur et d’en prendre le contrôle.
Le courriel envoyé par W32/Zotob-C a les caractéristiques suivantes :
Objet :
Warning!! **Warning** Hello Confirmed... Important!
Texte du message :
looooool We found a photo of you in ... That's your photo!!? hey!! 0K here is it!
Le fichier attaché peut avoir un nom généré aléatoirement ou l'un des suivants :
photo your_photo image picture sample loool webcam_photo
avec une extension BAT, CMD, EXE, PIF ou SCR.
L'adresse de l'expéditeur ('De') est usurpée.
W32/Zotob-C recherche les adresses électroniques dans le carnet d'adresses de Windows et dans les fichiers portant les extensions suivantes :
ADB, ASP, CGI, DBX, HTM, HTML, JSP, PHP, PL, SHT, TBB, TXT, WAB, XML
Le ver évite d'envoyer des courriels aux adresses contenant les chaînes de caractères suivantes :
.gov .mil acketst arin. avp berkeley borlan bsd example fido foo. fsf. gnu google gov. hotmail iana ibm.com icrosof ietf inpris isc.o isi.e kernel linux math mit.e mozilla msn. mydomai nodomai panda pgp rfc-ed ripe. ruslis secur sendmail sopho syma tanford.e unix usenet utgers.ed
Lorsqu'il est exécuté pour la première fois, W32/Zotob-C se copie dans le dossier système Windows sous le nom de per.exe et de lol.exe et, pour se démarrer automatiquement, crée les entrées de registre suivantes :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WINDOWS SYSTEM per.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices WINDOWS SYSTEM per.exe
Pour désactiver le démarrage automatique d'autres logiciels, W32/Zotob-C paramètre les entrées de registre suivantes :
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess Start 4
W32/Zotob-C remplace aussi le fichier HOSTS afin d'empêcher l'accès à certains sites Web (y compris des sites Web antivirus).
Des correctifs pour les failles du système d'exploitation utilisées par W32/Zotob-C sont disponibles sur le site Web de Microsoft aux liens suivants :
|
