Page principale >Virus
Suite...
Suite...
Suite...
Suite...
Suite...
Mydoom.A alias Novarg.A
W32.Mydoom.A@mm (également connu sous le nom de W32.Novarg.A) est un virus qui se propage par email et arrive en fichier joint .bat, .cmd, .exe, .pif, .scr, ou .zip.
Quand un ordinateur est infecté, le ver installe une backdoor dans le système via les ports TCP 3127 à 3198, qui peuvent potentiellement permettre à un attaquant de se relier à l'ordinateur et de l'employer pour accéder à ses ressources.
Quand un ordinateur est infecté, le ver installe une backdoor dans le système via les ports TCP 3127 à 3198, qui peuvent potentiellement permettre à un attaquant de se relier à l'ordinateur et de l'employer pour accéder à ses ressources.
De plus, il peut télécharger des fichiers et les éxécuter.
Il y a 25% de chance qu'un ordinateur infecté par le virus exécute un déni de service (DOS) le 1er février 2004 à 16:09:18, basé sur la date/heure local du système de la machine. Il y a également une date d'arrêt de l'attaque le 12 février 2004. Tandis que le ver s'arrêtera le 12 février 2004, le backdoor continuera à fonctionner après cette date.
Ce virus est également connu sous les noms W32.Novarg.A@mm, W32/Mydoom@MM, WORM_mimail.r, Win32.Mydoom.A, W32/Mydoom-A, I-Worm.Novarg
Quand W32.Mydoom.A@mm est exécuté, il fait ce qui suit:
Crée les dossiers suivants:
%System%Shimgapi.dll: Shimgapi.dll agit en tant que proxy server, ouvrant des ports TCP de 3127 à 3198. Le backdoor a également la capacité de télécharger et exécuter des fichiers.
%Temp%Message: Ce dossier contient les mails aléatoires.
%System%Taskmon.exe.
Ajoute la valeur:
"(défaut)" =" %System%shimgapi.dll "
à la clef de registre:
HKEY_CLASSES_ROOTCLSID{E6FBË20-DE35-1ÇF-9C87-00AA005127ED}InProcServer32
de sorte qu'Explorer.exe charge Shimgapi.dll.
Ajoute la valeur:
"TaskMon" = "%System% askmon.exe"
aux clefs de registre:
HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
de sorte que TaskMon soit éxécuté lorsque Windows démarre.
Vérifie la date du système, et si la date est entre le 1er février 2004 et le 12 février 2004, il y a une chance sur 4 que le virus effectuer une attaque DOS contre www.sco.com. Le DOS est exécuté en créant 63 nouveaux threads qui envoient des commandes GET au port 80. Le ver ne se propagera pas par mail si l'attaque de DOS est déclenchée.
Crée les clefs suivantes:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion ExplorerComDlg32Version
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion ExplorerComDlg32Version
Recherches des adresses email dans les fichiers de type:
htm
sht
php
asp
dbx
tbb
adb
pl
wab
txt
Tentatives d'envoyer des messages mail à l'aide de son propre moteur smtp. Le virus recherche le server mail que le destinataire emploie avant d'envoyer l'email. L'email aura les caractéristiques suivantes:
De: "" peut être spoofed.
Objet: Le sujet sera l'un de ce qui suit:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Message: Le message sera l'un de ce qui suit:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
test
Fichier Joint:
document
readme
Doc.
texte
dossier
données
essai
message
corps
Ensuite il se Copie lui-même dans le dosier de téléchargement de Kazaa en tant que:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
Pour désinfecter .Novarg.A@mm, W32/Mydoom@MM, WORM_mimail.r, Win32.Mydoom.A, W32/Mydoom-A, I-Worm.Novarg :
Désactiver la restauration système pour Windows Me/XP.
Mettre à jour son anti-virus.
Redémarrer votre ordinateur en mode sans échec.
Scanner tous vos disques et supprimer tous les fichiers détectés infectés par .Novarg.A@mm, W32/Mydoom@MM, WORM_mimail.r, Win32.Mydoom.A, W32/Mydoom-A, I-Worm.Novarg
Supprimer les valeurs ajoutées à la base de registre
Cliquer sur Démarrer puis Exécuter.
Taper: regsvr32 webcheck.dll
Cliquer sur OK. Le message, "DllRegisterServer in webcheck.dll succeeded," apparait, cliquer sur OK.
Il y a 25% de chance qu'un ordinateur infecté par le virus exécute un déni de service (DOS) le 1er février 2004 à 16:09:18, basé sur la date/heure local du système de la machine. Il y a également une date d'arrêt de l'attaque le 12 février 2004. Tandis que le ver s'arrêtera le 12 février 2004, le backdoor continuera à fonctionner après cette date.
Ce virus est également connu sous les noms W32.Novarg.A@mm, W32/Mydoom@MM, WORM_mimail.r, Win32.Mydoom.A, W32/Mydoom-A, I-Worm.Novarg
Quand W32.Mydoom.A@mm est exécuté, il fait ce qui suit:
Crée les dossiers suivants:
%System%Shimgapi.dll: Shimgapi.dll agit en tant que proxy server, ouvrant des ports TCP de 3127 à 3198. Le backdoor a également la capacité de télécharger et exécuter des fichiers.
%Temp%Message: Ce dossier contient les mails aléatoires.
%System%Taskmon.exe.
Ajoute la valeur:
"(défaut)" =" %System%shimgapi.dll "
à la clef de registre:
HKEY_CLASSES_ROOTCLSID{E6FBË20-DE35-1ÇF-9C87-00AA005127ED}InProcServer32
de sorte qu'Explorer.exe charge Shimgapi.dll.
Ajoute la valeur:
"TaskMon" = "%System% askmon.exe"
aux clefs de registre:
HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
de sorte que TaskMon soit éxécuté lorsque Windows démarre.
Vérifie la date du système, et si la date est entre le 1er février 2004 et le 12 février 2004, il y a une chance sur 4 que le virus effectuer une attaque DOS contre www.sco.com. Le DOS est exécuté en créant 63 nouveaux threads qui envoient des commandes GET au port 80. Le ver ne se propagera pas par mail si l'attaque de DOS est déclenchée.
Crée les clefs suivantes:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion ExplorerComDlg32Version
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion ExplorerComDlg32Version
Recherches des adresses email dans les fichiers de type:
htm
sht
php
asp
dbx
tbb
adb
pl
wab
txt
Tentatives d'envoyer des messages mail à l'aide de son propre moteur smtp. Le virus recherche le server mail que le destinataire emploie avant d'envoyer l'email. L'email aura les caractéristiques suivantes:
De: "" peut être spoofed.
Objet: Le sujet sera l'un de ce qui suit:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Message: Le message sera l'un de ce qui suit:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
test
Fichier Joint:
document
readme
Doc.
texte
dossier
données
essai
message
corps
Ensuite il se Copie lui-même dans le dosier de téléchargement de Kazaa en tant que:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
Pour désinfecter .Novarg.A@mm, W32/Mydoom@MM, WORM_mimail.r, Win32.Mydoom.A, W32/Mydoom-A, I-Worm.Novarg :
Désactiver la restauration système pour Windows Me/XP.
Mettre à jour son anti-virus.
Redémarrer votre ordinateur en mode sans échec.
Scanner tous vos disques et supprimer tous les fichiers détectés infectés par .Novarg.A@mm, W32/Mydoom@MM, WORM_mimail.r, Win32.Mydoom.A, W32/Mydoom-A, I-Worm.Novarg
Supprimer les valeurs ajoutées à la base de registre
Cliquer sur Démarrer puis Exécuter.
Taper: regsvr32 webcheck.dll
Cliquer sur OK. Le message, "DllRegisterServer in webcheck.dll succeeded," apparait, cliquer sur OK.
Les + Lus Dans Cette Catégorie
Virus Xabot
Xabot est un ver qui essaye de se propager par Irc et peer-to-peer. Il possede aussi des fonctionnalités indetiques à un trojan, permettant de prendre controle d'un pc infecté à distance. L'existence du dossier wininit32.exe est une indication d'une infection possible.Suite...
Virus Hobble.F (alias Alcatap )
Hobble.F est une variante du ver de Hobble. Il essaye de se propager à travers le réseau de partage de KaZaA. Il s'envoie également aux adresses d'email qu'il recherche à partir des dossiers htm et html qu'il trouve dans le cache d'Internet Explorer, et à toutes les adresses dans le carnet d'adresses de Microsoft Outlook.Suite...
Virus SQLExp SQL Slammer responsable du ralentissement
Ce ver est le responsable du ralentissement actuel d'internet. Il rappelle Code red et semble aussi virulent que ce dernier. Il est indetecté par les anti virus type scanner car il exsite uniquement en memoire. Le ver envoie 376 bits au port 1434 udp - le port de service de résolution de serveur de SQL.Suite...
Virus Cult.B alias Lanet
Cult.B est un ver qui utilise son propre moteur de smtp pour se propager. Les destinataires de l'email sont construits aléatoirement d'une liste de nom et d'un domaine choisi. Cult.B essaye également de se propager en utilisant le réseau de partage de KaZaA. De plus, le ver permet une prise de controle à distance du PC infecté.Suite...
Virus Lirva alias Avril.A Lirva.b Lirva.a Avron.c
Lirva est un ver qui se propage par egalement IRC, ICQ, KaZaA et le réseau. Ce ver essaye de terminer les processus d'antivirus et de firewall. Il envoit par email les mots de passe cachés de gestion de connection de Windows 95/98/Me à l'auteur de virus.Suite...
Navigation Rapide
|
Astuces Webmaster Astuces WINDOWS Astuces WINDOWS XP Comment ça marche DVD / Secret Evenements Exploits Hacking / Sécurité | Hardware Jeux Vidéo linux News Script(php,java...) Telephonie/GSM Virus |
