Page principale >Virus
Suite...
Suite...
Suite...
Suite...
Suite...
Gunsan
W32.Gunsan est un virus très complexe. Au programme:
mass mailling, backdoor, attaque du site microsoft, IRC, suppression de fichiers, désactivation de votre antivirus, des firewall et des possbilités de mise à jour.....
mass mailling, backdoor, attaque du site microsoft, IRC, suppression de fichiers, désactivation de votre antivirus, des firewall et des possbilités de mise à jour.....
Lorsque W32.Gunsan est éxécuté, il se copie dans \%System\Explorer16.exe
Il ajoute la valeur :
Explorer \%System%\Explorer16.exe
A la clé de registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices
Ensuite, il recherche la présence de zone alarm. S'il est présent, le ver crée le script C:\Noalarm.bat qui contient des instructions pour eviter le démarrage du firewall zonealarm en supprimant les fichiers:
\%System%\Vsdata95.vxd
\%System%\Vsdatant.sys
\%System%\Vsdata.dll
\%System%\Vsmonapi.dll
\%System%\Vspubapi.dll
\%System%\Vsmonapi.dll
\%Windows\Internet Logs\*.*
\Progra~1\ZoneLa~1\ZoneAl~1\*.*
\%System%\ZoneLabs\*.*
Pour cela, le ver ajoute une ligne à C:\Autoexec.bat afin que l'instructions pour supprimer ces fichiers soit executée à chaque démarrage de windows
Mais W32.Gunsan va plus loin encore pour vous empecher de vous protéger: Il modifie le fichier hosts qui permet de définir les dns aux domaines. Ainsi, les domaines suivants:
www.mcafee.com
www.mcaffee.com
www.norton.com
www.theregister.co.uk
www.zdnet.com
www.sophos.com
www.zonelabs.com
www.zonealarm.com
seront inscrits dans le fichier hosts avec comme ip 127.0.0.1
Il sera alors impossible de se connecter à ces domaines.
Puis le virus choisis un port TCP/IP aléatoire entre 0 et 4999 et l'enregistre dans le fichier C:\Skyliner.dat
Ensuite, il configure un serveur qui surveille les connections sur ce port. Le serveur répond aux connections en envoyants des réponses standards HTTP.
Il essaye ensuite de se connecter au site de microsoft. S'il y parvient, il enregistre l'adresse ip du site. Sinon, il retente toutes les 65 secondes jusqu'a réussite.
Le ver va ensuite se connecter aux serveurs IRC:
irc.dal.net (On port 6660, 6667 or 7000)
typhoon.va.us.dal.net (On port 6667)
liberty.nj.us.dal.net (On port 6667)
Il en profite pour envoyer des messages privées ( probablement pour renseigner l'auteur du virus)
Le ver recherche ensuite sur tous les lecteurs de C à Z et récupère les emails. Il modifie tous les fichiers htm pour inclure une frame qui redirige vers le site de Microsoft ( certainement pour tenter de causer un Dos ).
Les fichiers ayants l'extension .kix sont modifier en ajoutant le ligne :
run ".exe"
Les fichiers .mp3, .iso, .avi, .mpg sont remplacés par une copie du ver et renommé avec une double extension ( mp3.exe, .iso.exe, .avi.exe)
Le ver supprimer tous les fichiers ayant un rapport avec les termes suivants:
mcafee
softice
numega
antivirus
anti-virus
win32dasm
sophos
catsclaw
claw95
lockdown
symantec
firewall
virusscan
virus-scan
fprot
f-prot
zone labs
atguard
W32.Gunsan est un ver qui se propage par mail et qui infecte les disques locaux et réseaux partagés. Il ouvre un backdoor qui permet à un hacker de controler votre PC en utilisant IRC. Enfin, il envoi 2 mails à toutes les adresses qu'il a récupéré: 1 incluant la frame vers microsoft, l'autre le virus qui sera executé automatiquement en utilisant une faille d'outlook .
Pour se désinfecter:
Mettre à jour son anti virus:
Supprimer tous les fichiers détectés en tant que W32.Gunsan. Réinstaller les fichiers supprimes par le virus ou utiliser une copie saine de ces fichiers ( PENSEZ A FAIRE DES BACKUPS !!!!!!!!)
Supprimer la valeur ajouter au registre.
Il ajoute la valeur :
Explorer \%System%\Explorer16.exe
A la clé de registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices
Ensuite, il recherche la présence de zone alarm. S'il est présent, le ver crée le script C:\Noalarm.bat qui contient des instructions pour eviter le démarrage du firewall zonealarm en supprimant les fichiers:
\%System%\Vsdata95.vxd
\%System%\Vsdatant.sys
\%System%\Vsdata.dll
\%System%\Vsmonapi.dll
\%System%\Vspubapi.dll
\%System%\Vsmonapi.dll
\%Windows\Internet Logs\*.*
\Progra~1\ZoneLa~1\ZoneAl~1\*.*
\%System%\ZoneLabs\*.*
Pour cela, le ver ajoute une ligne à C:\Autoexec.bat afin que l'instructions pour supprimer ces fichiers soit executée à chaque démarrage de windows
Mais W32.Gunsan va plus loin encore pour vous empecher de vous protéger: Il modifie le fichier hosts qui permet de définir les dns aux domaines. Ainsi, les domaines suivants:
www.mcafee.com
www.mcaffee.com
www.norton.com
www.theregister.co.uk
www.zdnet.com
www.sophos.com
www.zonelabs.com
www.zonealarm.com
seront inscrits dans le fichier hosts avec comme ip 127.0.0.1
Il sera alors impossible de se connecter à ces domaines.
Puis le virus choisis un port TCP/IP aléatoire entre 0 et 4999 et l'enregistre dans le fichier C:\Skyliner.dat
Ensuite, il configure un serveur qui surveille les connections sur ce port. Le serveur répond aux connections en envoyants des réponses standards HTTP.
Il essaye ensuite de se connecter au site de microsoft. S'il y parvient, il enregistre l'adresse ip du site. Sinon, il retente toutes les 65 secondes jusqu'a réussite.
Le ver va ensuite se connecter aux serveurs IRC:
irc.dal.net (On port 6660, 6667 or 7000)
typhoon.va.us.dal.net (On port 6667)
liberty.nj.us.dal.net (On port 6667)
Il en profite pour envoyer des messages privées ( probablement pour renseigner l'auteur du virus)
Le ver recherche ensuite sur tous les lecteurs de C à Z et récupère les emails. Il modifie tous les fichiers htm pour inclure une frame qui redirige vers le site de Microsoft ( certainement pour tenter de causer un Dos ).
Les fichiers ayants l'extension .kix sont modifier en ajoutant le ligne :
run "
Les fichiers .mp3, .iso, .avi, .mpg sont remplacés par une copie du ver et renommé avec une double extension ( mp3.exe, .iso.exe, .avi.exe)
Le ver supprimer tous les fichiers ayant un rapport avec les termes suivants:
mcafee
softice
numega
antivirus
anti-virus
win32dasm
sophos
catsclaw
claw95
lockdown
symantec
firewall
virusscan
virus-scan
fprot
f-prot
zone labs
atguard
W32.Gunsan est un ver qui se propage par mail et qui infecte les disques locaux et réseaux partagés. Il ouvre un backdoor qui permet à un hacker de controler votre PC en utilisant IRC. Enfin, il envoi 2 mails à toutes les adresses qu'il a récupéré: 1 incluant la frame vers microsoft, l'autre le virus qui sera executé automatiquement en utilisant une faille d'outlook .
Pour se désinfecter:
Mettre à jour son anti virus:
Supprimer tous les fichiers détectés en tant que W32.Gunsan. Réinstaller les fichiers supprimes par le virus ou utiliser une copie saine de ces fichiers ( PENSEZ A FAIRE DES BACKUPS !!!!!!!!)
Supprimer la valeur ajouter au registre.
Les + Lus Dans Cette Catégorie
Virus Xabot
Xabot est un ver qui essaye de se propager par Irc et peer-to-peer. Il possede aussi des fonctionnalités indetiques à un trojan, permettant de prendre controle d'un pc infecté à distance. L'existence du dossier wininit32.exe est une indication d'une infection possible.Suite...
Virus Hobble.F (alias Alcatap )
Hobble.F est une variante du ver de Hobble. Il essaye de se propager à travers le réseau de partage de KaZaA. Il s'envoie également aux adresses d'email qu'il recherche à partir des dossiers htm et html qu'il trouve dans le cache d'Internet Explorer, et à toutes les adresses dans le carnet d'adresses de Microsoft Outlook.Suite...
Virus SQLExp SQL Slammer responsable du ralentissement
Ce ver est le responsable du ralentissement actuel d'internet. Il rappelle Code red et semble aussi virulent que ce dernier. Il est indetecté par les anti virus type scanner car il exsite uniquement en memoire. Le ver envoie 376 bits au port 1434 udp - le port de service de résolution de serveur de SQL.Suite...
Virus Lirva alias Avril.A Lirva.b Lirva.a Avron.c
Lirva est un ver qui se propage par egalement IRC, ICQ, KaZaA et le réseau. Ce ver essaye de terminer les processus d'antivirus et de firewall. Il envoit par email les mots de passe cachés de gestion de connection de Windows 95/98/Me à l'auteur de virus.Suite...
Virus Cult.B alias Lanet
Cult.B est un ver qui utilise son propre moteur de smtp pour se propager. Les destinataires de l'email sont construits aléatoirement d'une liste de nom et d'un domaine choisi. Cult.B essaye également de se propager en utilisant le réseau de partage de KaZaA. De plus, le ver permet une prise de controle à distance du PC infecté.Suite...
Navigation Rapide
|
Astuces Webmaster Astuces WINDOWS Astuces WINDOWS XP Comment ça marche DVD / Secret Evenements Exploits Hacking / Sécurité | Hardware Jeux Vidéo linux News Script(php,java...) Telephonie/GSM Virus |
