Rapport Virus : W32.HLLW.Cult.B@mm [Symantec]
|
Date de Publication: 2003-03-31
Noms: W32/Lanet@mm [McAfee], I-Worm.Cult.b [KAV], Win32.Cult.B [CA]
Type : Worm
Systèmes : Microsoft Windows.
* Description *
est un ver de type mass mailing qui utilise son propre moteur SMTP pour se propager. Les destinataires de l'email sont construits d'un nom aléatoire et d'un domaine choisis d'une liste prédéterminée. Il essaye aussi de se propager en utilisant le partage de fichiers via KaZaA.
|
|
* Description Technique *
procède comme suit :
- Le virus s'autocopie dans %System%\Wuauqmr.exe
- Crée le fichier %System%\Awqewqed.dll
- Ajoute la valeur : "NvCpTdaemon wuauqmr.exe" dans le registre
H_C_U\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
H_L_M\Software\Microsoft\Windows\CurrentVersion\Run
- Crée le répertoire %System%\Jdfghtrg et s'autocopie.
- Ajoute la valeur : Dir0 012345:%System%\jdfghtrg \ dans H_C_U\SOFTWARE\KAZAA\LocalContent
- Le ver ensuite Utilise les serveurs smtp dans une liste qu'il porte sur lui-même à toutes les adresses d'email qu'il crée.
- Se connecte à l'URL du pirate pour l'informer.
- Ouvre plusieurs ports aléatoires de TCP.
* Solution *
1. Mettez à jour votre anti-virus.
2. Scanner le système et supprimez tous les dossiers détectés comme
. Supprimez manuellement le fichier,
%System%\Awqewqed.dll.
|