W32/Rbot-AAF

Veuillez suivre les instructions de suppression des vers.

Changez toutes les données qui peuvent avoir été compromises.

Si elles sont présentes, vous devez aussi modifier les entrées suivantes du registre. Veuillez lire l'avertissement concernant la modification du registre.

Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre.

Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.

Recherchez les entrées HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

et supprimez les références à tous les fichiers que vous avez supprimés.

Fermez l'éditeur du registre.

W32/Rbot-AAF est un ver de réseau qui tente de se propager via des partages réseau. Tout en fonctionnant en tâche de fond, le ver contient des fonctions de porte dérobée qui permettent via des canaux IRC un accès distant non autorisé à l'ordinateur infecté.

Le ver se propage sur les partages réseau protégés par des mots de passe faibles et aussi en utilisant les failles de sécurité LSASS (MS04-011), RPC-DCOM (MS03-039) et WebDav (MS03-007).

Une fois installé, W32/Rbot-AAF tente de participer à des attaques par déni de service distribué (DDoS), de télécharger des fichiers depuis Internet et de les exécuter, de dérober des clés de CD-ROM, d'enregistrer des frappes de touches et d'ouvrir une session sur des serveurs MS SQL et d'envoyer des commandes EXEC pour ouvrir un shell de commandes lorsque l'attaquant distant l'ordonne.

W32/Rbot-AAF peut essayer d'exploiter les portes dérobées et les failles utilisées par la famille de vers MyDoom. W32/Rbot-AAF est un ver de réseau qui tente de se propager via des partages réseau. Tout en fonctionnant en tâche de fond, le ver contient des fonctions de porte dérobée qui permettent via des canaux IRC un accès distant non autorisé à l'ordinateur infecté.

Le ver se propage sur les partages réseau protégés par des mots de passe faibles et aussi en utilisant les failles de sécurité LSASS (MS04-011), RPC-DCOM (MS03-039) et WebDav (MS03-007).

Lorsqu'il est exécuté, W32/Rbot-AAF se déplace dans le dossier système Windows sous la forme d'un fichier système caché en lecture seule appelé wuanguard32.exe.

Le ver crée alors dans le registre les entrées suivantes :

HKCU\Software\Microsoft\OLE wuanguard wuanguard32.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices wuanguard wuanguard32.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run wuanguard wuanguard32.exe

Une fois installé, W32/Rbot-AAF tente de participer à des attaques par déni de service distribué (DDoS), de télécharger des fichiers depuis Internet et de les exécuter, de dérober des clés de CD-ROM, d'enregistrer des frappes de touches et d'ouvrir une session sur des serveurs MS SQL et d'envoyer des commandes EXEC pour ouvrir un shell de commandes lorsque l'attaquant distant l'ordonne.

W32/Rbot-AAF peut essayer d'exploiter les portes dérobées et les failles utilisées par la famille de vers MyDoom.