Informatique
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.

Informatique

Ici vous trouverez tout sur l'informatique
 
AccueilPortailRechercherDernières imagesS'enregistrerConnexion
Le Deal du moment :
Jeux, jouets et Lego : le deuxième à ...
Voir le deal

Informatique :: 

News

 :: Logiciels
 

 [21/02/07] Information Virus

Aller en bas 
AuteurMessage
Prohand
Admin
Prohand


Masculin
Nombre de messages : 163
Age : 32
Date d'inscription : 18/08/2006

[21/02/07] Information Virus Empty
MessageSujet: [21/02/07] Information Virus   [21/02/07] Information Virus Icon_minitimeMer 21 Fév - 13:31
Nom: Win32.MyDoom.S
Alias: I-Worm.Mydoom.q (KAV), W32.Mydoom.Q@mm (NAV)
Type: Ver de mail
Taille: 27136 (zippé with UPX).
Découvert: 16 août 2004
Détecté: 16 août 2004
Propagation: moyenne
Dommage: moyen
ITW: oui
Symptômes:
Presence du fichier "winpsd.exe" dans le répertoire %system% (par exemple C:\Windows\System32). Présence de cet exécutable dans les process, et présence de la clé de registre de démarrage "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" à la clé "winpsd".
Presence de l'exécutable "rasor38a.dll" dans les répertoires %windir% (par exemple C:\Windows), qui est une copie du vers.
Description technique:
Il se diffuse par l'intermédiaire des emails avec en pièce jointe l'exécutable "photos_arc.exe"; le sujet du email est "photos"; le corps de l'email est "LOL!Wink)))"

Il évite de s'envoyer à certaines adresses mail contenant certaines sous-chaînes

Il s'installe en tant que "winvpn32.exe" et exécute les adresses suivantes: http://www.xxxxxxxxxx.com/ispy.1.jpg ,
http://www.xxxxxxxxxx.com/coco3.jpg ,
http://www.xxxxxxxxxx.com/guestbook/temp/temp587.gif ,
http://xxxxxxxxxxx.com/guestbook/temp/temp728.gif

Le fichier téléchargé est Backdoor.Surila, un composant avec des capacités particulières qui lui donnent la possibilité d'être plus prioritaires par rapport aux autres processus.

Si le composant d'arrière plan est téléchargé avec succès, la clef de registre "HKCU\SOFTWARE\Microsoft\Internet Explorer\InstaledFlashhMX" est ajoutée et mise à "1"

Il vérifie le mutex "43jfds93872" afin d'éviter les copies de lui-même.

Il se copie dans "%system%\winpsd.exe" et "%windows%\rasor3å.dll"

IL ajoute la clef de registre de démarrage "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" avec l'enregistrement "winpsd" qui se dirige vers "%system%\winpsd.exe".
Désinfection Manuelle:

Pour prévenir la propagation du virus entre les ordinateurs en réseau, vous devriez soit désinfecter tous les ordinateurs en réseau avant de redémarrer, soit décrocher les câbles réseau. IMPORTANT : l'utilitaire de désinfection doit être utilisé en mode sans échec pour détruire tous les composants.
Désinfection:
Voir la page des utilitaires de désinfection.
Voir le dossier inoculer.com sur les virus.
Si vous êtes infecté, suivez la procédure de désinfection.

Source : inoculer.com
Revenir en haut Aller en bas
https://aide-pc.forumpro.fr
 
[21/02/07] Information Virus
Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» Comment supprimer efficacement un virus

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Informatique :: 

News

 :: Logiciels		-
Sauter vers:  
Ne ratez plus aucun deal !
Abonnez-vous pour recevoir par notification une sélection des meilleurs deals chaque jour.
IgnorerAutoriser