W32/Apology-B

Veuillez suivre les instructions de désinfection des exécutables PE.

Pour des informations sur la désinfection de ce virus, veuillez vous référer à Comment supprimer W32/Apology-B.

W32/Apology-B est un virus infectant les fichiers avec des caractéristiques de ver de messagerie et backdoor.

Lors du processus d´infection, le virus crée trois fichiers cachés dans le répertoire Windows.

IE_Pack.exe contient le code qui modifie wsock32.dll. Win32.dll est une copie du fichier envoié par e-mail, il contient le code pour tous les composants du virus. MTX_.exe est un composant d´entrée cachée. Lorsqu´il est exécuté, il essaie de se connecter à un site web et de télécharger des programmes supplémentaires à exécuter.

Le virus remplace wsock32.dll par une version modifiée qui surveille le trafic réseau. Lorsque le virus détecte l´envoi d´un e-mail par l´utilisateur, il en enverra un autre au même destinataire. Le message n´aura pas de sujet ou de corps de texte, seulement une pièce jointe portant l´un des noms suivants :

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Lorsqu´il est activé, le virus essaie aussi de bloquer l´accès aux sites web contenant des informations sur les virus. Il bloque l´accès aux sites dont les URL sont inclues dans la liste ci-dessous.

NII.
nai.
avp.
AVP.
F-Se
f-se
mapl
pand
soph
ndmi
afee
yenn
lywa
tbav
yman

Il empêche aussi l´utilisateur d´envoyer des e-mails aux entreprises dont le nom de domaine commence par le texte de la liste suivante

NII.
nai.
avp.
AVP.
F-Se
f-se
wildlist.o
il.esafe.c
perfectsup
complex.is
HiServ.com
hiserv.com
metro.ch
beyond.com
mcafee.com
pandasoftw
earthlink.
inexar.com
comkom.co.
meditrade.
mabex.com
cellco.com
symantec.c
successful
inforamp.n
newell.com
singnet.co
bmcd.com.a
bca.com.nz
trendmicro
sophos.com
maple.com.
netsales.n
f-secure.c
F-Secure.c

Si vous détectez W32/Apology-B, nous vous recommadons d´utiliser Sophos Anti-Virus en mode total afin de détecter tous les fragments qui peuvent être présents sur le PC.