Page principale >Virus
Suite...
Suite...
Suite...
Suite...
Suite...
Virus Deltad.A
W32. Deltad. A@mm est un ver de publipostage qui est écrit en high-level. Le publipostage réel est exécuté par un scénario VBS qui est inséré sur le système. De plus, il donne les droits d'admin aux acces dossier partagés windows.
Le message électronique a les caractéristiques suivantes :
Sujet: SAP UPDATE
Attachement: WWW.DGSAP.DELTADG.COM.EXE
W32. Deltad. A@mm essaye d'ouvrir le partage Admin$
La partie exécutable de ce ver est détectée comme Deltad.A et le scénario VBS est détecte comme VBS.Deltad.A
Certains antivirus non mis a jour peuvent détecté le code vbs en tant que BloodHound.
Une fois executé:
il insère les fichiers suivants sur le système :
%system %\Server.exe
%system %\System.txt.vbs
%windir %\Server.exe
%windir %\System.txt.vbs
Le ver peut aussi insérer un fichier nommé WWW.Dgsap.Deltadg.com.exe sur le bureau et directement sous la racine C.
Ensuite, le ver modifie ou ajoute beaucoup de clefs dans la base de registres de Windows.
Il ajoute ces valeurs
winserver %system%\Server.txt.vbs
server %system%\Server.exe
A la clef de registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Puis la valeur:
server %windir%\Server.exe
A la clef:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Il modifie aussi plusieurs sous-clefs d'enregistrement sous la clef:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\Admin$
W32. Deltad. A@mm essaye aussi de baisser les regles de sécurité pour Internet Explorer et Outlook Microsoft en modifiant des clefs d'enregistrement appartenant à ces programmes
le ver essaye d'ouvrir une page Web via Internet Explorer et cela se reproduira a chaque démarrage.
Apres le redemarrage, la routine d'email est effectuée par le scénario System.txt.vbs qui a été inséré sur le système.
Cette routine inserre une valeur dans le registre afin que la propagation par mail ne se fasse qu'une seule fois.
Pour se désinfecter:
Mettre à jour votre antivirus
Scanner votre ordinateur
Supprimer tous les fichiers détectés comme W32. Deltad. A@mm ou VBS.DELTAD. A@mm
Supprimer les valeurs ajoutées au registre
Retablir les regles de secuirtés d'internet explorer et outlook ainsi que la partie Admin$
Sujet: SAP UPDATE
Attachement: WWW.DGSAP.DELTADG.COM.EXE
W32. Deltad. A@mm essaye d'ouvrir le partage Admin$
La partie exécutable de ce ver est détectée comme Deltad.A et le scénario VBS est détecte comme VBS.Deltad.A
Certains antivirus non mis a jour peuvent détecté le code vbs en tant que BloodHound.
Une fois executé:
il insère les fichiers suivants sur le système :
%system %\Server.exe
%system %\System.txt.vbs
%windir %\Server.exe
%windir %\System.txt.vbs
Le ver peut aussi insérer un fichier nommé WWW.Dgsap.Deltadg.com.exe sur le bureau et directement sous la racine C.
Ensuite, le ver modifie ou ajoute beaucoup de clefs dans la base de registres de Windows.
Il ajoute ces valeurs
winserver %system%\Server.txt.vbs
server %system%\Server.exe
A la clef de registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Puis la valeur:
server %windir%\Server.exe
A la clef:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Il modifie aussi plusieurs sous-clefs d'enregistrement sous la clef:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\Admin$
W32. Deltad. A@mm essaye aussi de baisser les regles de sécurité pour Internet Explorer et Outlook Microsoft en modifiant des clefs d'enregistrement appartenant à ces programmes
le ver essaye d'ouvrir une page Web via Internet Explorer et cela se reproduira a chaque démarrage.
Apres le redemarrage, la routine d'email est effectuée par le scénario System.txt.vbs qui a été inséré sur le système.
Cette routine inserre une valeur dans le registre afin que la propagation par mail ne se fasse qu'une seule fois.
Pour se désinfecter:
Mettre à jour votre antivirus
Scanner votre ordinateur
Supprimer tous les fichiers détectés comme W32. Deltad. A@mm ou VBS.DELTAD. A@mm
Supprimer les valeurs ajoutées au registre
Retablir les regles de secuirtés d'internet explorer et outlook ainsi que la partie Admin$
Les + Lus Dans Cette Catégorie
Virus Xabot
Xabot est un ver qui essaye de se propager par Irc et peer-to-peer. Il possede aussi des fonctionnalités indetiques à un trojan, permettant de prendre controle d'un pc infecté à distance. L'existence du dossier wininit32.exe est une indication d'une infection possible.Suite...
Virus Hobble.F (alias Alcatap )
Hobble.F est une variante du ver de Hobble. Il essaye de se propager à travers le réseau de partage de KaZaA. Il s'envoie également aux adresses d'email qu'il recherche à partir des dossiers htm et html qu'il trouve dans le cache d'Internet Explorer, et à toutes les adresses dans le carnet d'adresses de Microsoft Outlook.Suite...
Virus SQLExp SQL Slammer responsable du ralentissement
Ce ver est le responsable du ralentissement actuel d'internet. Il rappelle Code red et semble aussi virulent que ce dernier. Il est indetecté par les anti virus type scanner car il exsite uniquement en memoire. Le ver envoie 376 bits au port 1434 udp - le port de service de résolution de serveur de SQL.Suite...
Virus Lirva alias Avril.A Lirva.b Lirva.a Avron.c
Lirva est un ver qui se propage par egalement IRC, ICQ, KaZaA et le réseau. Ce ver essaye de terminer les processus d'antivirus et de firewall. Il envoit par email les mots de passe cachés de gestion de connection de Windows 95/98/Me à l'auteur de virus.Suite...
Virus Cult.B alias Lanet
Cult.B est un ver qui utilise son propre moteur de smtp pour se propager. Les destinataires de l'email sont construits aléatoirement d'une liste de nom et d'un domaine choisi. Cult.B essaye également de se propager en utilisant le réseau de partage de KaZaA. De plus, le ver permet une prise de controle à distance du PC infecté.Suite...
Navigation Rapide
|
Astuces Webmaster Astuces WINDOWS Astuces WINDOWS XP Comment ça marche DVD / Secret Evenements Exploits Hacking / Sécurité | Hardware Jeux Vidéo linux News Script(php,java...) Telephonie/GSM Virus |
