Page principale >Virus
Suite...
Suite...
Suite...
Suite...
Suite...
Virus Opaserv.E (alias Opaserv, alias Opaserv.C )
Opaserv.E est une variante de Opaserv . C'est un ver réseau qui se propage à travers réseau partagé. Il se copie à l'ordinateur à distance en tant que Brasil.exe ou Brasil.pif. Ce ver essaye également de télécharger des mises à jour depuis www.n3t.com.br, site maintenant désactivé.
Quand Opaserv.E est éxécuté sur des ordinateurs de Windows 95/98/Me, il fait ce qui suit:
Il vérifie la valeur:
BrasilOld
dans la clef de registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Si la valeur existe, le ver supprime le fichier vers lequel BrasilOld pointe.
Si la valeur de BrasilOld n'existe pas, alors le ver détermine si la valeur:
Brasil
existe dans la clef de registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Si la valeur n'existe pas, le ver ajoute la valeur:
Brasil C:\windows \ Brasil.exe
ou
Brasil C:\WINDOWS\Brasil.pif
Après il vérifie si il est éxécuté en tant que C:\Windows\Brasil.exe ou C:\Windows\Brasil.pif.
Si il ne l'est pas, il se copie en tant qu'un de ces noms de fichier et ajoute la valeur:
BrasilOld [ nom original de ver ]
à la clef de registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Après qu' il est vérifié les valeurs du registre et l'endroit d'ou le ver s'exécute, le ver va s'assurer que seulement une instance du ver fonctionne dans la mémoire en créant un mutex avec le nom Brasil31415.
S'il ne s'exécute pas déjà, le ver s'enregistre comme processus
Puis Il inventorie le réseau a la recherche de lecteur C:\ partagés. A chaque lecteur trouvé, se copie dans C\Windows\Brasil.exe ou C\Windows\Brasil.pif
Le ver emploie une vulnérabilité de sécurité propre à Microsoft Windows 95/98/Me. Il envoie un mots de passe d'un simple caractère aux réseau pour obtenir l'accès dossier de Windows 95/98/Me sans connaitre le mot de passe entier.
Afin d'etre éxécuté a chaque session de windows, le ver ouvre C:\Windows\Win.ini et ajoute la ligne:
run= c:\Windows\Brasil.exe,c:\Windows\Brasil.pif
Le ver est apparemment codé pour ajouter cette ligne au Win.ini:
run= c:\put.ini
Cependant, dans des infections ou des détections réelles, le ver ajoute la ligne:
run=c:\Windows\Brasil.exe, c:\Windows\Brasil.pif
Il crée également le dossier C:\Put.ini, qui contient le texte:
run=c:\Windows\Brasil.exe, c:\Windows\Brasil.pif
Le ver semble également pouvoir se mettre à jour en lisant des dossiers d'un site Web dont l' URL est codé dans le ver. Il essaye également de télécharger une mise à jour appelée Puta!!.exe.
pour se désinfecter:
Déconnectez vous du réseau si vous y étes connecté.
Mettre à jour son antivirus
Scanner votre Ordinateur
Supprimer tous les fichiers détectés en tant que virus Opaserv.
Supprimer les valeurs ajoutées au registre.
S'il existe, supprimer le fichier Put.ini
Supprimer la ligne ajoutée dans le fichier C:\Windows\Win.ini
Il vérifie la valeur:
BrasilOld
dans la clef de registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Si la valeur existe, le ver supprime le fichier vers lequel BrasilOld pointe.
Si la valeur de BrasilOld n'existe pas, alors le ver détermine si la valeur:
Brasil
existe dans la clef de registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Si la valeur n'existe pas, le ver ajoute la valeur:
Brasil C:\windows \ Brasil.exe
ou
Brasil C:\WINDOWS\Brasil.pif
Après il vérifie si il est éxécuté en tant que C:\Windows\Brasil.exe ou C:\Windows\Brasil.pif.
Si il ne l'est pas, il se copie en tant qu'un de ces noms de fichier et ajoute la valeur:
BrasilOld [ nom original de ver ]
à la clef de registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Après qu' il est vérifié les valeurs du registre et l'endroit d'ou le ver s'exécute, le ver va s'assurer que seulement une instance du ver fonctionne dans la mémoire en créant un mutex avec le nom Brasil31415.
S'il ne s'exécute pas déjà, le ver s'enregistre comme processus
Puis Il inventorie le réseau a la recherche de lecteur C:\ partagés. A chaque lecteur trouvé, se copie dans C\Windows\Brasil.exe ou C\Windows\Brasil.pif
Le ver emploie une vulnérabilité de sécurité propre à Microsoft Windows 95/98/Me. Il envoie un mots de passe d'un simple caractère aux réseau pour obtenir l'accès dossier de Windows 95/98/Me sans connaitre le mot de passe entier.
Afin d'etre éxécuté a chaque session de windows, le ver ouvre C:\Windows\Win.ini et ajoute la ligne:
run= c:\Windows\Brasil.exe,c:\Windows\Brasil.pif
Le ver est apparemment codé pour ajouter cette ligne au Win.ini:
run= c:\put.ini
Cependant, dans des infections ou des détections réelles, le ver ajoute la ligne:
run=c:\Windows\Brasil.exe, c:\Windows\Brasil.pif
Il crée également le dossier C:\Put.ini, qui contient le texte:
run=c:\Windows\Brasil.exe, c:\Windows\Brasil.pif
Le ver semble également pouvoir se mettre à jour en lisant des dossiers d'un site Web dont l' URL est codé dans le ver. Il essaye également de télécharger une mise à jour appelée Puta!!.exe.
pour se désinfecter:
Déconnectez vous du réseau si vous y étes connecté.
Mettre à jour son antivirus
Scanner votre Ordinateur
Supprimer tous les fichiers détectés en tant que virus Opaserv.
Supprimer les valeurs ajoutées au registre.
S'il existe, supprimer le fichier Put.ini
Supprimer la ligne ajoutée dans le fichier C:\Windows\Win.ini
Les + Lus Dans Cette Catégorie
Virus Xabot
Xabot est un ver qui essaye de se propager par Irc et peer-to-peer. Il possede aussi des fonctionnalités indetiques à un trojan, permettant de prendre controle d'un pc infecté à distance. L'existence du dossier wininit32.exe est une indication d'une infection possible.Suite...
Virus Hobble.F (alias Alcatap )
Hobble.F est une variante du ver de Hobble. Il essaye de se propager à travers le réseau de partage de KaZaA. Il s'envoie également aux adresses d'email qu'il recherche à partir des dossiers htm et html qu'il trouve dans le cache d'Internet Explorer, et à toutes les adresses dans le carnet d'adresses de Microsoft Outlook.Suite...
Virus SQLExp SQL Slammer responsable du ralentissement
Ce ver est le responsable du ralentissement actuel d'internet. Il rappelle Code red et semble aussi virulent que ce dernier. Il est indetecté par les anti virus type scanner car il exsite uniquement en memoire. Le ver envoie 376 bits au port 1434 udp - le port de service de résolution de serveur de SQL.Suite...
Virus Lirva alias Avril.A Lirva.b Lirva.a Avron.c
Lirva est un ver qui se propage par egalement IRC, ICQ, KaZaA et le réseau. Ce ver essaye de terminer les processus d'antivirus et de firewall. Il envoit par email les mots de passe cachés de gestion de connection de Windows 95/98/Me à l'auteur de virus.Suite...
Virus Cult.B alias Lanet
Cult.B est un ver qui utilise son propre moteur de smtp pour se propager. Les destinataires de l'email sont construits aléatoirement d'une liste de nom et d'un domaine choisi. Cult.B essaye également de se propager en utilisant le réseau de partage de KaZaA. De plus, le ver permet une prise de controle à distance du PC infecté.Suite...
Navigation Rapide
|
Astuces Webmaster Astuces WINDOWS Astuces WINDOWS XP Comment ça marche DVD / Secret Evenements Exploits Hacking / Sécurité | Hardware Jeux Vidéo linux News Script(php,java...) Telephonie/GSM Virus |
