W32/Zotob-F

Veuillez suivre les instructions de suppression des vers.

W32/Zotob-F est un ver et un cheval de Troie de porte dérobée pour la plate-forme Windows.

W32/Zotob-F se propage par courriel et sur d'autres ordinateurs du réseau en exploitant les failles de dépassement de tampon usuelles, y compris LSASS (MS04-011) et PnP (MS05-039).

W32/Zotob-F fonctionne en permanence en tâche de fond, fournissant un serveur de porte dérobée permettant à l’intrus distant d’accéder à l‘ordinateur et d’en prendre le contrôle.

Les correctifs des failles du système d'exploitation utilisées par W32/Zotob-F sont disponibles sur le site de Microsoft aux liens suivants :

MS04-011 MS05-039 (en anglais)W32/Zotob-F est un ver et un cheval de Troie de porte dérobée pour la plate-forme Windows.

W32/Zotob-F se propage par courriel et sur d'autres ordinateurs du réseau en exploitant les failles de dépassement de tampon usuelles, y compris LSASS (MS04-011) et PnP (MS05-039).

W32/Zotob-F fonctionne en permanence en tâche de fond, fournissant un serveur de porte dérobée permettant à l’intrus distant d’accéder à l‘ordinateur et d’en prendre le contrôle.

Lorsqu'il est exécuté pour la première fois, W32/Zotob-F se copie dans <Système>\wintbpx.exe et crée les fichiers suivants :

<Temp>\387.bat <Temp>\821.bat

il s'agit de fichiers batch qui tentent de supprimer le fichier du ver du dossier en cours.

Pour exécuter wintbpx.exe au démarrage, l'entrée de registre suivante est créée :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run wintbpx.exe wintbpx.exe

W32/Zotob-F tente de mettre fin aux processus suivants et de supprimer les fichiers qui y correspondent :

wintbp.exe svnlitup32.exe service32.exe mousebm.exe llsrv.exe pnpsrv.exe winpnp.exe csm.exe system32.exe botzor.exe upnp.exe

Les correctifs des failles du système d'exploitation utilisées par W32/Zotob-F sont disponibles sur le site de Microsoft aux liens suivants :

MS04-011 MS05-039 (en anglais)