Page principale >Virus
Suite...
Suite...
Suite...
Suite...
Suite...
Digispid.B
Connu aussi sous les noms de:
JS_SQLSpida.B, Hacktool.IPStealer, JS.Spida.B, JS/SQLSpida.b.worm, SQLSnake, SQLSpida, MS SQL Worm
JS_SQLSpida.B, Hacktool.IPStealer, JS.Spida.B, JS/SQLSpida.b.worm, SQLSnake, SQLSpida, MS SQL Worm
Digispid.B.Worm est un ver qui recherche les pc utilisants Microsoft SQL Server.
Il se copie dans les pc qui utilisent Microsoft sql server et qui n'utilise pas de mot de passe. Il va alors generé un mot de passe composé par 4 caractères aléatoires.
Un PC infecté se reconnait par la présence des caractéristiques suivantes:
-1 Une ces fichiers est présent:
%System32%DriversServices.exe
%System32%Sqlexec.js
%System32%Clemail.exe
%System32%Sqlprocess.js
%System32%Sqlinstall.bat
%System32%Sqldir.js
%System32%Run.js
%System32%Timer.dll
%System32%Samdump.dll
%System32%Pwdump2.exe
-2 De nombreuses requètes sont effectuées via le port 1433
Une fois executé, le ver copie les fichiers suivants sur le disque:
System32DriversServices.exe
Un scanner de port pour localiser d'autre pc vulnérables
System32Sqlexec.js Javascript utilise par le ver pour executer des commandes sur le pc infecté.
System32Clemail.exe
utilser pour envoyer par email l'ip et le mot de passe du serveur sql au créateur du virus
System32Sqlprocess.js
Javascript qui permet d'executer les fonctionnalités du virus:
Il ajoute la valeur:
ImagePath %COMSPEC% /c start netdde && sqlprocess init Start 2
A la clé de registre:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetDDE
Il ajoute la valeur:
dsquery dbmssocn
A la clé:
HKEY_LOCAL_MACHINEsoftwaremicrosoft mssqlserverclientconnectto
Puis il copie le fichier %SystemRoot%System32Regedt32.exe
Vers %SystemRoot%Regedt32.exe
Il supprime le fichier %SystemRoot%System32Msver241.srq
Conseil pour eviter l'infection:
Utilser un firewall pour filtrer les entrées et sorties sur le port 1433
Filtrer les messages sortants vers l'email "ixltd@postone.com"
Filtrer les email dont le sujet du message commence par "SystemData-" Verifier que le compte "sa" ait bien un mot de passe
Pour se désinfecter:
Mettre à jour son anti virus
Faire un scan du pc
Supprimer tous les fichiers détectés en tant que Digispid.B.Worm, JS_SQLSpida.B, Hacktool.IPStealer, JS.Spida.B, JS/SQLSpida.b.worm, SQLSnake, SQLSpida, MS SQL Worm
Supprimer les fichiers suivants:
System32DriversServices.exe System32Clemail.exe System32Timer.dll System32Samdump.dll System32Pwdump2.exe
www.yacapa.com,source:symantec
Il se copie dans les pc qui utilisent Microsoft sql server et qui n'utilise pas de mot de passe. Il va alors generé un mot de passe composé par 4 caractères aléatoires.
Un PC infecté se reconnait par la présence des caractéristiques suivantes:
-1 Une ces fichiers est présent:
%System32%DriversServices.exe
%System32%Sqlexec.js
%System32%Clemail.exe
%System32%Sqlprocess.js
%System32%Sqlinstall.bat
%System32%Sqldir.js
%System32%Run.js
%System32%Timer.dll
%System32%Samdump.dll
%System32%Pwdump2.exe
-2 De nombreuses requètes sont effectuées via le port 1433
Une fois executé, le ver copie les fichiers suivants sur le disque:
System32DriversServices.exe
Un scanner de port pour localiser d'autre pc vulnérables
System32Sqlexec.js Javascript utilise par le ver pour executer des commandes sur le pc infecté.
System32Clemail.exe
utilser pour envoyer par email l'ip et le mot de passe du serveur sql au créateur du virus
System32Sqlprocess.js
Javascript qui permet d'executer les fonctionnalités du virus:
Il ajoute la valeur:
ImagePath %COMSPEC% /c start netdde && sqlprocess init Start 2
A la clé de registre:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetDDE
Il ajoute la valeur:
dsquery dbmssocn
A la clé:
HKEY_LOCAL_MACHINEsoftwaremicrosoft mssqlserverclientconnectto
Puis il copie le fichier %SystemRoot%System32Regedt32.exe
Vers %SystemRoot%Regedt32.exe
Il supprime le fichier %SystemRoot%System32Msver241.srq
Conseil pour eviter l'infection:
Utilser un firewall pour filtrer les entrées et sorties sur le port 1433
Filtrer les messages sortants vers l'email "ixltd@postone.com"
Filtrer les email dont le sujet du message commence par "SystemData-" Verifier que le compte "sa" ait bien un mot de passe
Pour se désinfecter:
Mettre à jour son anti virus
Faire un scan du pc
Supprimer tous les fichiers détectés en tant que Digispid.B.Worm, JS_SQLSpida.B, Hacktool.IPStealer, JS.Spida.B, JS/SQLSpida.b.worm, SQLSnake, SQLSpida, MS SQL Worm
Supprimer les fichiers suivants:
System32DriversServices.exe System32Clemail.exe System32Timer.dll System32Samdump.dll System32Pwdump2.exe
www.yacapa.com,source:symantec
Les + Lus Dans Cette Catégorie
Virus Xabot
Xabot est un ver qui essaye de se propager par Irc et peer-to-peer. Il possede aussi des fonctionnalités indetiques à un trojan, permettant de prendre controle d'un pc infecté à distance. L'existence du dossier wininit32.exe est une indication d'une infection possible.Suite...
Virus Hobble.F (alias Alcatap )
Hobble.F est une variante du ver de Hobble. Il essaye de se propager à travers le réseau de partage de KaZaA. Il s'envoie également aux adresses d'email qu'il recherche à partir des dossiers htm et html qu'il trouve dans le cache d'Internet Explorer, et à toutes les adresses dans le carnet d'adresses de Microsoft Outlook.Suite...
Virus SQLExp SQL Slammer responsable du ralentissement
Ce ver est le responsable du ralentissement actuel d'internet. Il rappelle Code red et semble aussi virulent que ce dernier. Il est indetecté par les anti virus type scanner car il exsite uniquement en memoire. Le ver envoie 376 bits au port 1434 udp - le port de service de résolution de serveur de SQL.Suite...
Virus Lirva alias Avril.A Lirva.b Lirva.a Avron.c
Lirva est un ver qui se propage par egalement IRC, ICQ, KaZaA et le réseau. Ce ver essaye de terminer les processus d'antivirus et de firewall. Il envoit par email les mots de passe cachés de gestion de connection de Windows 95/98/Me à l'auteur de virus.Suite...
Virus Cult.B alias Lanet
Cult.B est un ver qui utilise son propre moteur de smtp pour se propager. Les destinataires de l'email sont construits aléatoirement d'une liste de nom et d'un domaine choisi. Cult.B essaye également de se propager en utilisant le réseau de partage de KaZaA. De plus, le ver permet une prise de controle à distance du PC infecté.Suite...
Navigation Rapide
|
Astuces Webmaster Astuces WINDOWS Astuces WINDOWS XP Comment ça marche DVD / Secret Evenements Exploits Hacking / Sécurité | Hardware Jeux Vidéo linux News Script(php,java...) Telephonie/GSM Virus |
