Forte
Récapitulatif
Récapitulatif
Action- Plus d'informations
| Détecté par | Tous les produits Sophos |
|---|---|
Action
- Récapitulatif
- Action
- Plus d'informations
Veuillez suivre les instructions de suppression des vers.
Veuillez lire les instructions pour supprimer les vers.
Supprimer les clés de la base de registre
Après la suppression du ver, vous poubez supprimer les clés utilisées par le ver dans la base de registre. La suppression de ces clés est optionnelle.
Dans la barre des tâches de Windows, sélectionnez Démarrer|Exécuter. Tapez "Regedit". L'éditeur de registre s'ouvrira.
Avant d'éditer le registre, vous devrez faire une sauvegarde du registre. Dans le menu Registre, cliquez sur Exporter le fichier du registre, dans Etendue de l'exportation, sélectionnez Tout puis sauvegardez votre registre.
Recherchez la clé HKEY_LOCAL_MACHINE suivante :
HKLM\Software\AVTech\
et supprimez-la si elle est présente.
Recherchez ls clés HKEY_LOCAL_MACHINE suivantes :
HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\3dfx Acc = <chemin vers gfxacc.exe>
HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\LoadDBackup = <chemin vers bctool.exe>
et supprimez-les si elles existent.
Fermez l'éditeur de registre et redémarrez votre ordinateur.
Plus d'informations
- Récapitulatif
- Action
- Plus d'informations
W32/Gibe-A est un ver qui se propage par e-mail semblant provenir de Microsoft. L'e-mail a les caractéristiques suivantes :
Objet : Internet Security Update
Pièce jointe : q216309.exe
Corps du message :
Microsoft Customer,
this is the latest version of security update, the
update which eliminates all known security vulnerabilities affecting Internet Explorer and
MS Outlook/Express as well as six new vulnerabilities, and is discussed in Microsoft Security Bulletin MS02-005. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your computer.
Description of several well-know vulnerabilities:
- "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" vulnerability. If a malicious user sends an affected HTML e-mail or hosts an affected e-mail on a Web site, and a user opens the e-mail or visits the Web site, Internet Explorer automatically runs the executable on the user's computer.
- A vulnerability that could allow an unauthorized user to learn the location of cached content on your computer. This could enable the unauthorized user to launch compiled HTML Help (.chm) files that contain shortcuts to executables, thereby enabling the unauthorized user to run the executables on your computer.
- A new variant of the "Frame Domain Verification" vulnerability could enable a malicious Web site operator to open two browser windows, one in the Web site's domain and the other on your local file system, and to pass information from your computer to the Web site.
- CLSID extension vulnerability. Attachments which end with a CLSID file extension do not show the actual full extension of the file when saved and viewed with Windows Explorer. This allows dangerous file types to look as though they are simple, harmless files - such as JPG or WAV files - that do not need to be blocked.
System requirements:
Versions of Windows no earlier than Windows 95.
This update applies to:
Versions of Internet Explorer no earlier than 4.01
Versions of MS Outlook no earlier than 8.00
Versions of MS Outlook Express no earlier than 4.01
How to install
Run attached file q216309.exe
How to use
You don't need to do anything after installing this item.
For more information about these issues, read Microsoft Security Bulletin MS02-005, or visit link below.
http://www.microsoft.com/windows/ie/
downloads/critical/default.asp
If you have some questions about this article contact us at rdquest12@microsoft.com
Thank you for using Microsoft products.
With friendly greetings,
MS Internet Security Center.
----------------------------------------
--------------------- -------------------
Microsoft is registered trademark of Microsoft Corporation.
Windows and Outlook are trademarks of Microsoft Corporation.
Si q216309.exe est exécuté, il affiche le message "This will install Microsoft Security Update. Do you wish to continue ? ". Il se copie alors dans le fichier q216309.exe dans le dossier Windows et dans le fichier vtnmsccd.dll dans le dossier système de Windows. Il place et exécute aussi les fichiers bctool.exe, winnetw.exe et gfxacc.exe dans le dossier Windows et crée le fichier 02_n803.dat dans lequel il stocke des informations sur les destinataires des e-mails.
Bctool.exe et winnetw.exe essaie d'envoyer des e-mails comme décrits ci- dessus. Gfxacc.exe s'exécute comme processus de fond de tâche et ouvre le port 12387, qui peut permettre à un attaquant d'accéder et de contrôler la machine à distance.
Le ver configure dans la base de registre les clés suivantes :
HKLM\Software\AVTech\Settings\Default Address = <adresse par défaut>
HKLM\Software\AVTech\Settings\DefaultServer = <serveur par défaut>
HKLM\Software\AVTech\Settings\Installed = ...by Begbie
HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\3dfx Acc = <chemin vers gfxacc.exe>
HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\LoadDBackup = <chemin vers bctool.exe>
Détection des virus gratuite
- Détection gratuite des virus et spywares
- Vérification de votre protection antivirus actuelle
- Votre antivirus est-il vraiment efficace ?
|
