Rapport Virus : W32.HLLW.Cult.B@mm [Symantec]

 Date de Publication: 2003-03-31
 Noms: W32/Lanet@mm [McAfee], I-Worm.Cult.b [KAV], Win32.Cult.B [CA]
 Type : Worm
 Systèmes : Microsoft Windows.

 
  * Description *

  est un ver de type mass mailing qui utilise son propre moteur SMTP pour se propager. Les destinataires de l'email sont construits d'un nom aléatoire et d'un domaine choisis d'une liste prédéterminée. Il essaye aussi de se propager en utilisant le partage de fichiers via KaZaA.

 

  * Description Technique *

  procède comme suit :

 - Le virus s'autocopie dans %System%\Wuauqmr.exe
 - Crée le fichier %System%\Awqewqed.dll
 - Ajoute la valeur : "NvCpTdaemon wuauqmr.exe" dans le registre 
  
H_C_U\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
H_L_M\Software\Microsoft\Windows\CurrentVersion\Run

 - Crée le répertoire %System%\Jdfghtrg et s'autocopie.
 - Ajoute la valeur : Dir0      012345:%System%\jdfghtrg \ dans H_C_U\SOFTWARE\KAZAA\LocalContent
 - Le ver ensuite Utilise les serveurs smtp dans une liste qu'il porte sur lui-même à toutes les adresses d'email qu'il crée.
 - Se connecte à l'URL du pirate pour l'informer.
 - Ouvre plusieurs ports aléatoires de TCP.


  * Solution *
 

 1. Mettez à jour votre anti-virus.
 2. Scanner le système et supprimez tous les dossiers détectés comme
 . Supprimez manuellement le fichier,
 %System%\Awqewqed.dll.

   

Audits de Sécurité & Tests Intrusifs F-VNS Security™ Mailing Listes Advisories Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits