Page principale >Virus
Suite...
Suite...
Suite...
Suite...
Suite...
Virus Kilonce
W32. HLLW.Kilonce est un ver qui se propage par les lecteurs partagés. Basé sur le Virus Nimda, il n'a cependant pas la capacité de se propager par email. De plus, il essaye de "tuer" (fermer) tous les processus qui contiennent les caractères "KV" ou "AV" ou nommé "LOAD.EXE" et supprimer par la suite le fichier associé. Le 13 Décembre, il tente de supprimer tous les fichiers du disque C.
Quand le ver est éxécuté pour la premiere fois, il vérifie le nom de l'ordinateur actuel. Si le nom n'est pas "YWB" alors le ver exécute les actions suivantes :
Il énumérera tous les processus et tuera n'importe quel processus dont le nom contient "KV" ou "AV" ou est nommé "LOAD.EXE". Après que le processus est été tué, le fichier associé sera supprimé.
Il se copie en tant que %windir%Killonce.exe dans la corbeille.
Ensuite, il change plusieurs clefs de registre:
Dans la clef:
HKEY_CLASSES_ROOT\exefile\shell\open\co mmand
Il change les Données de Valeur (de Défaut) par:
%windir %\killonce.exe "1 % *
Dans la clef :
HKEY_CLASSES_ROOT\txtfile\shell\open\co mmand
Il change les Données de Valeur (de Défaut) par:
C:\recycled\killonce.exe %windir %\NotePad %1
Le contenu original de cette valeur est perdu.
Dans la clef :
HKEY_LOCAL_MACHINE\Software\Microsoft\W indows\CurrentVersion\Run
Il ajoute la valeur:
KillOnce %windir %\killonce.exe
Ensuite, il ajoute le compte Guest ( ou Invité ) au groupe administrateur sous Windows NT / XP / 2000
Il ouvrira tous les disques de C à K pour autoriser le partage des fichiers.
Le ver énumérera alors Les ressources du réseau. S'il trouve le fichier Rundll32.exe dans le dossier de Windows sur l'ordinateur réseau, le ver le rebaptise en Run32.exe et remplace le fichier original par 'une copie du ver. S'il trouve Regedit.exe sur l'ordinateur distant, le ver le rebaptise en Regedit.exe.sys et remplace le fichier original par une copie du ver.
Le ver recopie n'importe quel fichier dont l'extension de fichier est .eml ou .nws. Le fichier recopié contiendra une version codée base64 du ver.
Si le ver trouve un fichier dont l'extension est .doc, le ver se copiera comme Riched20.dll.
Si le ver trouve un fichier dont l'extension est .htm, le ver se copiera comme Shdocvw.dll.
Le 13 décembre de n'importe quelle année, le ver recopiera l'Autoexec.bat avec le code pour supprimer tous les fichiers et sous-dossiers dans le lecteur C.
pour se désinfecter:
Mettre à jour son antivirus
Redémarrer l'ordinateur en mode safe
Copier Regedit.exe vers Regedit.com
En utilisant regedit.com, editer les modifications qui ont été faites aux clefs de la base de registre
Scanner votre PC et supprimer tous les fichiers détectés en tant que W32.HLLW.Kilonce
Restaurer tous les fichiers nécessaires depuis une sauvegarde non infectée.
www.yacapa.com,source:symantec
Il énumérera tous les processus et tuera n'importe quel processus dont le nom contient "KV" ou "AV" ou est nommé "LOAD.EXE". Après que le processus est été tué, le fichier associé sera supprimé.
Il se copie en tant que %windir%Killonce.exe dans la corbeille.
Ensuite, il change plusieurs clefs de registre:
Dans la clef:
HKEY_CLASSES_ROOT\exefile\shell\open\co mmand
Il change les Données de Valeur (de Défaut) par:
%windir %\killonce.exe "1 % *
Dans la clef :
HKEY_CLASSES_ROOT\txtfile\shell\open\co mmand
Il change les Données de Valeur (de Défaut) par:
C:\recycled\killonce.exe %windir %\NotePad %1
Le contenu original de cette valeur est perdu.
Dans la clef :
HKEY_LOCAL_MACHINE\Software\Microsoft\W indows\CurrentVersion\Run
Il ajoute la valeur:
KillOnce %windir %\killonce.exe
Ensuite, il ajoute le compte Guest ( ou Invité ) au groupe administrateur sous Windows NT / XP / 2000
Il ouvrira tous les disques de C à K pour autoriser le partage des fichiers.
Le ver énumérera alors Les ressources du réseau. S'il trouve le fichier Rundll32.exe dans le dossier de Windows sur l'ordinateur réseau, le ver le rebaptise en Run32.exe et remplace le fichier original par 'une copie du ver. S'il trouve Regedit.exe sur l'ordinateur distant, le ver le rebaptise en Regedit.exe.sys et remplace le fichier original par une copie du ver.
Le ver recopie n'importe quel fichier dont l'extension de fichier est .eml ou .nws. Le fichier recopié contiendra une version codée base64 du ver.
Si le ver trouve un fichier dont l'extension est .doc, le ver se copiera comme Riched20.dll.
Si le ver trouve un fichier dont l'extension est .htm, le ver se copiera comme Shdocvw.dll.
Le 13 décembre de n'importe quelle année, le ver recopiera l'Autoexec.bat avec le code pour supprimer tous les fichiers et sous-dossiers dans le lecteur C.
pour se désinfecter:
Mettre à jour son antivirus
Redémarrer l'ordinateur en mode safe
Copier Regedit.exe vers Regedit.com
En utilisant regedit.com, editer les modifications qui ont été faites aux clefs de la base de registre
Scanner votre PC et supprimer tous les fichiers détectés en tant que W32.HLLW.Kilonce
Restaurer tous les fichiers nécessaires depuis une sauvegarde non infectée.
www.yacapa.com,source:symantec
Les + Lus Dans Cette Catégorie
Virus Xabot
Xabot est un ver qui essaye de se propager par Irc et peer-to-peer. Il possede aussi des fonctionnalités indetiques à un trojan, permettant de prendre controle d'un pc infecté à distance. L'existence du dossier wininit32.exe est une indication d'une infection possible.Suite...
Virus Hobble.F (alias Alcatap )
Hobble.F est une variante du ver de Hobble. Il essaye de se propager à travers le réseau de partage de KaZaA. Il s'envoie également aux adresses d'email qu'il recherche à partir des dossiers htm et html qu'il trouve dans le cache d'Internet Explorer, et à toutes les adresses dans le carnet d'adresses de Microsoft Outlook.Suite...
Virus SQLExp SQL Slammer responsable du ralentissement
Ce ver est le responsable du ralentissement actuel d'internet. Il rappelle Code red et semble aussi virulent que ce dernier. Il est indetecté par les anti virus type scanner car il exsite uniquement en memoire. Le ver envoie 376 bits au port 1434 udp - le port de service de résolution de serveur de SQL.Suite...
Virus Lirva alias Avril.A Lirva.b Lirva.a Avron.c
Lirva est un ver qui se propage par egalement IRC, ICQ, KaZaA et le réseau. Ce ver essaye de terminer les processus d'antivirus et de firewall. Il envoit par email les mots de passe cachés de gestion de connection de Windows 95/98/Me à l'auteur de virus.Suite...
Virus Cult.B alias Lanet
Cult.B est un ver qui utilise son propre moteur de smtp pour se propager. Les destinataires de l'email sont construits aléatoirement d'une liste de nom et d'un domaine choisi. Cult.B essaye également de se propager en utilisant le réseau de partage de KaZaA. De plus, le ver permet une prise de controle à distance du PC infecté.Suite...
Navigation Rapide
|
Astuces Webmaster Astuces WINDOWS Astuces WINDOWS XP Comment ça marche DVD / Secret Evenements Exploits Hacking / Sécurité | Hardware Jeux Vidéo linux News Script(php,java...) Telephonie/GSM Virus |
