Antivirus and Security Software from Sophos

Blogs Sophos

W32/Sdbot-QC

Alias
  • WORM_SDBOT.QC
Catégorie
Type
Action à mener
Prévalence faible Forte

Récapitulatif

 
Comment il se propage
  • Partages réseau
  • Programmes de chat
Systèmes d'exploitation affectés Windows
Protection disponible depuis 5 août 2004 13:36:44 (GMT)
Détecté par Tous les produits Sophos

Action

Veuillez suivre les instructions de suppression des vers.

Si elles sont présentes, vous devez aussi modifier les entrées suivantes du registre. Veuillez lire l'avertissement concernant la modification du registre.

Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre.

Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.

Recherchez les entrées HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ sl4 rules = rbot32.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ sl4 rules = rbot32.exe

et supprimez-les si elles existent.

Chaque utilisateur dispose d'une zone de registre nommée HKEY_USERS\[numéro de code indiquant l'utilisateur]\. Pour chaque utilisateur, recherchez l'entrée :

HKU\[numéro de code]\Software\Microsoft\Windows\CurrentVersion\Run\ sl4 rules = rbot32.exe

et supprimez-la si elle existe.

Fermez l'éditeur du registre.

Vérifiez vos mots de passe administrateur ainsi que la sécurité de votre réseau.

Plus d'informations

W32/Sdbot-QC est un ver de réseau avec des fonctionnalités de porte dérobée IRC. Lorsqu'il est exécuté, le ver se copie dans le dossier Système Windows sous le nom rbot32.exe et, pour se démarrer automatiquement à l’ouverture d’une session utilisateur ou au démarrage du système, crée les entrées de registre suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ sl4 rules = rbot32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ sl4 rules = rbot32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ sl4 rules = rbot32.exe

Lorsqu’il est actif, W32/Sdbot-QC tente de se connecter à un serveur IRC distant et de joindre un canal secret depuis lequel d’autres commandes peuvent être envoyées par l’attaquant.

Comme les autres membres de la famille Sdbot, le ver tente aussi de se propager par la force sur les partages réseau protégés par des mots de passe faibles et de voler des informations sur les clés de jeux d’ordinateur.

Download Détection des virus gratuite
Test de détection des menaces
  • Détection gratuite des virus et spywares
  • Vérification de votre protection antivirus actuelle
  • Votre antivirus est-il vraiment efficace ?
RSS|Atom
Rapports sur les menaces de virus et de spywares les plus récentes envoyées à votre ordinateur