2 réponses
C'est probablement le Cheval de Troie/Spyware (!) de Kazaa Lite. Voir à : http://news.p2pfr.com/?archive=04/2002&num=103
Backdoor.K0wbot.1.3.B
Nom: Backdoor.K0wbot.1.2 / 1.3.A / 1.3.B
Alias: W32.Kwbot.Worm
Type: Worm & Backdoor
Taille: ~19 KB
Découvert: 17-26 juin 2002
Detected: 17-26 juin 2002 (GMT+2)
Propagation: importante
Dommage: Réduit
ITW: oui
Symptômes:
- fichier explorer32.exe dans le dossier Windows System;
- entrées "Windows Explorer Update Build 1142" dans les clefs de registres HKLM\Software\Microsoft\Windows\CurrentVersion\Run et HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices; la valeur des entrées est "explorer32";
- beaucoup de copies du virus (sous des noms différents, mais tous ayant environ une taille d'environ 19 KB) dans le dossier partagé KaZaA - par défaut "C:\Program Files\KaZaA\My Shared Folder".
Description technique:
C'est un autre ver internet utilisant le réseau populaire de partage de fichiers KaZaA pour se propager; en plus, il inclut un composant backdoor IRC, permettant le contrôle à distance. Il est écrit en C et l'exécutable comprimé et crypté; Il utilise aussi des protections techniques pour rendre l'ingénierie inverse difficile.
Si exécuté, le virus se copie sous le nom explorer32.exe dans le dossier Windows System et enregistre cette copie à s'exécuter à chaque redémarrage par la création des entrées registres décrites ci-dessus.
Le virus crée un fichier temporaire (c:\moo.reg) utilisé pour assigner la valeur 0 à l'entrée registres HKEY_CURRENT_USER\Software\Kazaa\LocalContent\DisableSharing (afin d'activer le partage des fichiers KaZaA). Le virus crée environ 150 copies de soi-même dans le dossier partagé KaZaA, utilisant les noms des fichiers logiciels/média très populaires:
Le virus est capable de se répandre puisqu'une recherche sur lesdits fichiers retourne aussi les copies du virus des machines infectées.
Le composant backdoor se connecte au serveur IRC (Internet Relay Chat) et permet le contrôle à distance de l'ordinateur infecté (après une authentification), incluant aussi la possibilité des actions suivantes sur l'ordinateur infecté:
- mise à jour du virus par téléchargement d'une nouvelle version;
- rapporter des informations sur le système infecté (vitesse processeur, mémoire, version plate-forme, temps de fonctionnement, type connexion Internet, adresse IP locale etc.);
- rapporte les logiciels installés (par l'envoi du fichier c:\moo.txt qui fait la liste des sous-dossiers dans Program Files);
- différentes commandes IRC, incluant l'inondation d'autres utilisateurs du serveur de chat.
Désinfection manuelle:
Effacez (utilisant REGEDIT) les entrées de registres décrites ci-dessus dans la section Symptômes et effacez le fichier "explorer32.exe" dans le dossier Windows System, puis redémarrez. Vous devriez aussi effacer toutes les copies du virus dans le dossier partagé KaZaA.
@+
DOMBIK(QC) :^)
*Quand Astérix va , tout va!!!*
Nom: Backdoor.K0wbot.1.2 / 1.3.A / 1.3.B
Alias: W32.Kwbot.Worm
Type: Worm & Backdoor
Taille: ~19 KB
Découvert: 17-26 juin 2002
Detected: 17-26 juin 2002 (GMT+2)
Propagation: importante
Dommage: Réduit
ITW: oui
Symptômes:
- fichier explorer32.exe dans le dossier Windows System;
- entrées "Windows Explorer Update Build 1142" dans les clefs de registres HKLM\Software\Microsoft\Windows\CurrentVersion\Run et HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices; la valeur des entrées est "explorer32";
- beaucoup de copies du virus (sous des noms différents, mais tous ayant environ une taille d'environ 19 KB) dans le dossier partagé KaZaA - par défaut "C:\Program Files\KaZaA\My Shared Folder".
Description technique:
C'est un autre ver internet utilisant le réseau populaire de partage de fichiers KaZaA pour se propager; en plus, il inclut un composant backdoor IRC, permettant le contrôle à distance. Il est écrit en C et l'exécutable comprimé et crypté; Il utilise aussi des protections techniques pour rendre l'ingénierie inverse difficile.
Si exécuté, le virus se copie sous le nom explorer32.exe dans le dossier Windows System et enregistre cette copie à s'exécuter à chaque redémarrage par la création des entrées registres décrites ci-dessus.
Le virus crée un fichier temporaire (c:\moo.reg) utilisé pour assigner la valeur 0 à l'entrée registres HKEY_CURRENT_USER\Software\Kazaa\LocalContent\DisableSharing (afin d'activer le partage des fichiers KaZaA). Le virus crée environ 150 copies de soi-même dans le dossier partagé KaZaA, utilisant les noms des fichiers logiciels/média très populaires:
Le virus est capable de se répandre puisqu'une recherche sur lesdits fichiers retourne aussi les copies du virus des machines infectées.
Le composant backdoor se connecte au serveur IRC (Internet Relay Chat) et permet le contrôle à distance de l'ordinateur infecté (après une authentification), incluant aussi la possibilité des actions suivantes sur l'ordinateur infecté:
- mise à jour du virus par téléchargement d'une nouvelle version;
- rapporter des informations sur le système infecté (vitesse processeur, mémoire, version plate-forme, temps de fonctionnement, type connexion Internet, adresse IP locale etc.);
- rapporte les logiciels installés (par l'envoi du fichier c:\moo.txt qui fait la liste des sous-dossiers dans Program Files);
- différentes commandes IRC, incluant l'inondation d'autres utilisateurs du serveur de chat.
Désinfection manuelle:
Effacez (utilisant REGEDIT) les entrées de registres décrites ci-dessus dans la section Symptômes et effacez le fichier "explorer32.exe" dans le dossier Windows System, puis redémarrez. Vous devriez aussi effacer toutes les copies du virus dans le dossier partagé KaZaA.
@+
DOMBIK(QC) :^)
*Quand Astérix va , tout va!!!*
