Page principale >Virus
Suite...
Suite...
Suite...
Suite...
Suite...
Virus Lirva alias Avril.A Lirva.b Lirva.a Avron.c
Lirva est un ver qui se propage par egalement IRC, ICQ, KaZaA et le réseau. Ce ver essaye de terminer les processus d'antivirus et de firewall. Il envoit par email les mots de passe cachés de gestion de connection de Windows 95/98/Me à l'auteur de virus.
Quand Lirva est exécuté, il fait ce qui suit:
Termine tous les processus avec les noms suivants:
_ Avp32.exe
_ avpcc.exe
_ avpm.exe
Ackwin32.exe
Anti-trojan.exe
Apvxdwin.exe
Autodown.exe
Avconsol.exe
Ave32.exe
Avgctrl.exe
Avkserv.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpdos32.exe
Avpm.exe
Avpmon.exe
Avpnt.exe
Avptc32.exe
Avpupd.exe
Avsched32.exe
Avwin95.exe
Avwupd32.exe
Blackd.exe
Blackice.exe
Cfiadmin.exe
Cfiaudit.exe
Cfind.exe
Claw95.exe
Claw95ct.exe
Cleaner.exe
Cleaner3.exe
Dv95.exe
Dv95_o.exe
Dvp95.exe
Ecengine.exe
Efinet32.exe
Esafe.exe
Espwatch.exe
F-agnt95.exe
Findviru.exe
Fprot.exe
F-prot.exe
F-prot95.exe
Fp-win.exe
Frw.exe
F-stopw.exe
Iamapp.exe
Iamserv.exe
Ibmasn.exe
Ibmavsp.exe
Icload95.exe
Icloadnt.exe
Icmoon.exe
Icssuppnt.exe
Icsupp95.exe
Iface.exe
Iomon98.exe
Jed.exe
Kpf.exe
Kpfw32.exe
Lockdown2000.exe
Lookout.exe
Luall.exe
Moolive.exe
Mpftray.exe
N32scan.exe
Navapw32.exe
Navlu32.exe
Navnt.exe
Navsched.exe
Navw.exe
Navw32.exe
Navwnt.exe
Nisum.exe
Nmain.exe
Normist.exe
Nupgrade.exe
Nvc95.exe
Outpost.exe
Padmin.exe
Pavcl.exe
Pccwin98.exe
Pcfwallicon.exe
Persfw.exe
Rav7.exe
Rav7win.exe
Rescue.exe
Safeweb.exe
Scan32.exe
Scan95.exe
Scanpm.exe
Scrscan.exe
Serv95.exe
Smc.exe
Sphinx.exe
Sweep95.exe
Tbscan.exe
Tca.exe
Tds2-98.exe
Tds2-nt.exe
Vet95.exe
Vettray.exe
Vsecomr.exe
Vshwin32.exe
Vsscan40.exe
Vsstat.exe
Webscan.exe
Webscanx.exe
Wfindv32.exe
Zonealarm.exe
Il inventorie toutes les fenetres en cours d'utilisation et ferme celles dont le nom comporte:
virus
anti
McAfee
Virus
Anti
AVP
Norton
Il se copie en tant que:
%Temporary%\[aleatoire]
%Temporary%\[aleatoire].tft
%System%\[aleatoire].exe
%All Drives%\Recycled\[aleatoire].exe
%Kazaa Downloads%\[aleatoire].exe
Il Ajoute la valeur:
Avril Lavigne - MUSE
à la clef de registre:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Si le logiciel d'exploitation est Windows NT/2000/xp, le ver s'enregistrera comme service.
Il Crée la clef de registre:
HKEY_local_machine \ Software\OvG\Avril Lavigne
et divers subkeys que le ver emploie pour maintenir son procédé d'infection.
il Crée un fichier non-malveillant %Temporary%\Avril-ii.inf et d'autres fichiers temporaires textes dans le dossier provisoire de Windows.
Il vérifie si l'ordinateur est actuellement relié à un réseau. S'il n'est pas relié, le ver essayera de se connecter en utilisant le profil par defaut.
Il Recherche le carnet d'adresses et les fichiers de Windows ayant comme extension dbx, mbx, wab, html, eml, htm, tbb, shtml, nch, et idx. Puis, le ver envoie les messages d'email avec les caractéristiques suivantes:
Sujet. Un de ceux ci:
Fw: Prohibited customers...
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
Message. un de ceux ci:
Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support:
Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below
Attachement. Le fichier joint est un de ceux ci:
Resume.exe
Download.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Singles.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe
le ver tire profit d'une vulnérabilité qui permet à l'attachement de s'auto exécuter quand vous lisez ou previsualisez l'email
puis, il Recherche le fichier Icqmapi.dll, en déterminant le chemin des dossiers de programme d'Icq. Si le ver trouve ce fichier, le ver le copie au dossier de \Windows\System et s'envoie à tous les contacts dans la liste de contact d'Icq.
Il Crée un fichier Script.ini dans le dossier de mIRC. Ce fichier se reliera au canal #avrillavigne et s'enverra à d'autres qui joignent tous les canaux que vous joignez.
Il se copie dans \Recycled\[nom aleatoire].exe sur chaque commande locale et modifie le fichier Autoexec.bat (ajoutant la ligne mentionnée ci-dessus), de sorte que le ver fonctionne quand vous demarrez Windows (sur les ordinateurs Windows 95/98/Me seulement).
Il se copie comme nom de fichier aléatoire au dossier de téléchargement de KaZaA.
Si le jour du mois est le 7ème, le 11ème, ou le 24ème, le ver lancera votre navigateur vers www.avril-lavigne.com et montrera une animation graphique sur le dessus de bureau de Windows.
Pour se désinfecter
Supprimer les valeurs ajoutées a la base de registre
Redemarrez votre ordinateur
Mettre à jour votre antivirus
Scanner votre ordinateur
Supprimer tous les fichiers infectés et détectés en tant que Lirva ou Avril.A Lirva.b Lirva.a Avron.c
Termine tous les processus avec les noms suivants:
_ Avp32.exe
_ avpcc.exe
_ avpm.exe
Ackwin32.exe
Anti-trojan.exe
Apvxdwin.exe
Autodown.exe
Avconsol.exe
Ave32.exe
Avgctrl.exe
Avkserv.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpdos32.exe
Avpm.exe
Avpmon.exe
Avpnt.exe
Avptc32.exe
Avpupd.exe
Avsched32.exe
Avwin95.exe
Avwupd32.exe
Blackd.exe
Blackice.exe
Cfiadmin.exe
Cfiaudit.exe
Cfind.exe
Claw95.exe
Claw95ct.exe
Cleaner.exe
Cleaner3.exe
Dv95.exe
Dv95_o.exe
Dvp95.exe
Ecengine.exe
Efinet32.exe
Esafe.exe
Espwatch.exe
F-agnt95.exe
Findviru.exe
Fprot.exe
F-prot.exe
F-prot95.exe
Fp-win.exe
Frw.exe
F-stopw.exe
Iamapp.exe
Iamserv.exe
Ibmasn.exe
Ibmavsp.exe
Icload95.exe
Icloadnt.exe
Icmoon.exe
Icssuppnt.exe
Icsupp95.exe
Iface.exe
Iomon98.exe
Jed.exe
Kpf.exe
Kpfw32.exe
Lockdown2000.exe
Lookout.exe
Luall.exe
Moolive.exe
Mpftray.exe
N32scan.exe
Navapw32.exe
Navlu32.exe
Navnt.exe
Navsched.exe
Navw.exe
Navw32.exe
Navwnt.exe
Nisum.exe
Nmain.exe
Normist.exe
Nupgrade.exe
Nvc95.exe
Outpost.exe
Padmin.exe
Pavcl.exe
Pccwin98.exe
Pcfwallicon.exe
Persfw.exe
Rav7.exe
Rav7win.exe
Rescue.exe
Safeweb.exe
Scan32.exe
Scan95.exe
Scanpm.exe
Scrscan.exe
Serv95.exe
Smc.exe
Sphinx.exe
Sweep95.exe
Tbscan.exe
Tca.exe
Tds2-98.exe
Tds2-nt.exe
Vet95.exe
Vettray.exe
Vsecomr.exe
Vshwin32.exe
Vsscan40.exe
Vsstat.exe
Webscan.exe
Webscanx.exe
Wfindv32.exe
Zonealarm.exe
Il inventorie toutes les fenetres en cours d'utilisation et ferme celles dont le nom comporte:
virus
anti
McAfee
Virus
Anti
AVP
Norton
Il se copie en tant que:
%Temporary%\[aleatoire]
%Temporary%\[aleatoire].tft
%System%\[aleatoire].exe
%All Drives%\Recycled\[aleatoire].exe
%Kazaa Downloads%\[aleatoire].exe
Il Ajoute la valeur:
Avril Lavigne - MUSE
à la clef de registre:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Si le logiciel d'exploitation est Windows NT/2000/xp, le ver s'enregistrera comme service.
Il Crée la clef de registre:
HKEY_local_machine \ Software\OvG\Avril Lavigne
et divers subkeys que le ver emploie pour maintenir son procédé d'infection.
il Crée un fichier non-malveillant %Temporary%\Avril-ii.inf et d'autres fichiers temporaires textes dans le dossier provisoire de Windows.
Il vérifie si l'ordinateur est actuellement relié à un réseau. S'il n'est pas relié, le ver essayera de se connecter en utilisant le profil par defaut.
Il Recherche le carnet d'adresses et les fichiers de Windows ayant comme extension dbx, mbx, wab, html, eml, htm, tbb, shtml, nch, et idx. Puis, le ver envoie les messages d'email avec les caractéristiques suivantes:
Sujet. Un de ceux ci:
Fw: Prohibited customers...
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
Message. un de ceux ci:
Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support:
Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below
Attachement. Le fichier joint est un de ceux ci:
Resume.exe
Download.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Singles.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe
le ver tire profit d'une vulnérabilité qui permet à l'attachement de s'auto exécuter quand vous lisez ou previsualisez l'email
puis, il Recherche le fichier Icqmapi.dll, en déterminant le chemin des dossiers de programme d'Icq. Si le ver trouve ce fichier, le ver le copie au dossier de \Windows\System et s'envoie à tous les contacts dans la liste de contact d'Icq.
Il Crée un fichier Script.ini dans le dossier de mIRC. Ce fichier se reliera au canal #avrillavigne et s'enverra à d'autres qui joignent tous les canaux que vous joignez.
Il se copie dans \Recycled\[nom aleatoire].exe sur chaque commande locale et modifie le fichier Autoexec.bat (ajoutant la ligne mentionnée ci-dessus), de sorte que le ver fonctionne quand vous demarrez Windows (sur les ordinateurs Windows 95/98/Me seulement).
Il se copie comme nom de fichier aléatoire au dossier de téléchargement de KaZaA.
Si le jour du mois est le 7ème, le 11ème, ou le 24ème, le ver lancera votre navigateur vers www.avril-lavigne.com et montrera une animation graphique sur le dessus de bureau de Windows.
Pour se désinfecter
Supprimer les valeurs ajoutées a la base de registre
Redemarrez votre ordinateur
Mettre à jour votre antivirus
Scanner votre ordinateur
Supprimer tous les fichiers infectés et détectés en tant que Lirva ou Avril.A Lirva.b Lirva.a Avron.c
Les + Lus Dans Cette Catégorie
Virus Xabot
Xabot est un ver qui essaye de se propager par Irc et peer-to-peer. Il possede aussi des fonctionnalités indetiques à un trojan, permettant de prendre controle d'un pc infecté à distance. L'existence du dossier wininit32.exe est une indication d'une infection possible.Suite...
Virus Hobble.F (alias Alcatap )
Hobble.F est une variante du ver de Hobble. Il essaye de se propager à travers le réseau de partage de KaZaA. Il s'envoie également aux adresses d'email qu'il recherche à partir des dossiers htm et html qu'il trouve dans le cache d'Internet Explorer, et à toutes les adresses dans le carnet d'adresses de Microsoft Outlook.Suite...
Virus SQLExp SQL Slammer responsable du ralentissement
Ce ver est le responsable du ralentissement actuel d'internet. Il rappelle Code red et semble aussi virulent que ce dernier. Il est indetecté par les anti virus type scanner car il exsite uniquement en memoire. Le ver envoie 376 bits au port 1434 udp - le port de service de résolution de serveur de SQL.Suite...
Virus Lirva alias Avril.A Lirva.b Lirva.a Avron.c
Lirva est un ver qui se propage par egalement IRC, ICQ, KaZaA et le réseau. Ce ver essaye de terminer les processus d'antivirus et de firewall. Il envoit par email les mots de passe cachés de gestion de connection de Windows 95/98/Me à l'auteur de virus.Suite...
Virus Cult.B alias Lanet
Cult.B est un ver qui utilise son propre moteur de smtp pour se propager. Les destinataires de l'email sont construits aléatoirement d'une liste de nom et d'un domaine choisi. Cult.B essaye également de se propager en utilisant le réseau de partage de KaZaA. De plus, le ver permet une prise de controle à distance du PC infecté.Suite...
Navigation Rapide
|
Astuces Webmaster Astuces WINDOWS Astuces WINDOWS XP Comment ça marche DVD / Secret Evenements Exploits Hacking / Sécurité | Hardware Jeux Vidéo linux News Script(php,java...) Telephonie/GSM Virus |
