Forte
Récapitulatif
Récapitulatif
Action- Plus d'informations
| Comment il se propage |
|
|---|---|
| Systèmes d'exploitation affectés | Windows |
| Protection disponible depuis | 28 avril 2005 21:43:51 (GMT) |
| Détecté par | Tous les produits Sophos |
Détection des virus gratuite
- Détection gratuite des virus et spywares
- Vérification de votre protection antivirus actuelle
- Votre antivirus est-il vraiment efficace ?
Action
- Récapitulatif
- Action
- Plus d'informations
Veuillez suivre les instructions de suppression des vers.
Windows NT/2000/XP/2003
Dans Windows NT/2000/XP/2003, vous devez aussi modifier l'entrée suivante du registre. La suppression de cette entrée est facultative dans Windows 95/98/Me. Veuillez lire l'avertissement concernant la modification du registre.
Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre.
Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.
Recherchez l'entrée HKEY_LOCAL_MACHINE :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run TaskMon "<dossier système Windows>\taskmon.exe"
et supprimez-la si elle existe.
Fermez l'éditeur du registre.
Plus d'informations
- Récapitulatif
- Action
- Plus d'informations
W32/MyDoom-BN est un membre de la famille de vers de messagerie W32/MyDoom.
Comme tous les autres membres de la famille MyDoom, W32/MyDoom-BN ouvre le Bloc-notes pour afficher le message contenant des chaînes de caractères aléatoires.
Comme tous les autres vers MyDoom, W32/MyDoom-BN analyse le système de fichiers et les partages montés à la recherche d'adresses électroniques.
Le ver se met à l'écoute des ports exposant une porte dérobée pouvant être utilisée par des attaquants potentiels.
Les produits antivirus de Sophos incluent la technologie de détection par Genotype™, qui peuvent proactivement assurer une protection contre les nouvelles menaces sans qu'une mise à jour ne soit nécessaire. Les clients Sophos sont protégés contre W32/MyDoom-BN (détecté sous le nom de W32/MyDoom-Gen) depuis la version 3.85.Les produits antivirus de Sophos incluent la technologie de détection par Genotype™, qui peuvent proactivement assurer une protection contre les nouvelles menaces sans qu'une mise à jour ne soit nécessaire. Les clients Sophos sont protégés contre W32/MyDoom-BN (détecté sous le nom de W32/MyDoom-Gen) depuis la version 3.85
W32/MyDoom-BN est un membre de la famille de vers de messagerie W32/MyDoom.
Comme tous les autres membres de la famille MyDoom, W32/MyDoom-BN ouvre le Bloc-notes pour afficher le message contenant des chaînes de caractères aléatoires.
Comme tous les autres vers MyDoom, W32/MyDoom-BN analyse le système de fichiers et les partages montés à la recherche d'adresses électroniques.
Le ver se met à l'écoute des ports exposant une porte dérobée pouvant être utilisée par des attaquants potentiels.
Pour démarrer automatiquement, W32/MyDoom-BN se copie dans le fichier taskmon.exe du dossier système Windows et crée l'entrée de registre suivante :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run TaskMon "<dossier système Windows>\taskmon.exe"
W32/MyDoom-BN crée des messages électroniques sous l'un des objets suivants :
Duvido voce me reconher =) estou longe!! Eu nao ti vejo a muito tempo. Eu te amo lembra de mim?? Oi Oi a quanto tempo... =) Saudades de voce!!! Voce me reconhece??
Le corps du message est le suivant :
Ola, a quanto tempo! Eu me mudei dai para os Estados Unidos, e faz um tempo que perdemos o contato e consegui seu email atraves de uma amiga sua. Vamos fazer assim, eu vou lhe mandar meu album de fotos se voce me reconhecer, me retorna o email. Quero ver se voce ainda lembra de mim. :)
W32/MyDoom-BN se copie dans le dossier de partage KaZaa, s'il est disponible, sous l'un des noms suivants :
activation_crack.<ext> icq2004-final.<ext> office_crack.<ext> rootkitXP.<ext> strip-girl-2.0bdcom_patches.<ext> winamp5.<ext>
Les extensions <ext> mentionnées ci-dessus seront choisies aléatoirement parmi les suivantes :
bat cmd exe pif scr zip
W32/MyDoom-BN s'attache au courriel sous l'un des noms de fichiers suivants avec l'une des extensions de la liste précédente :
album album_de_foto eu foto fotografia fotos minhas_fotos
W32/MyDoom-BN évite de s'envoyer aux adresses électroniques contenant les chaînes suivantes :
acketst arin. avp berkeley borlan bsd example fido fsf. gnu google iana ibm.com icrosof ietf inpris isc.o isi.e kernel linux math mit.e mozilla mydomai nodomai pgp rfc-ed ripe. ruslis secur sendmail syma tanford.e unix usenet utgers.ed
En plus d'utiliser les adresses électroniques qu'il trouve sur le système infecté, W32/MyDoom-BN envoie des courriels semblant provenir d'un des domaines suivants :
aol.com.br bol.com.br gmail.com hotmail.com.br msn.com.br uol.com.br yahoo.com.br
|
