W32/Sdbot-TW

Veuillez suivre les instructions de suppression des vers.

W32/Sdbot-TW est un ver de réseau avec des fonctionnalités de porte dérobée.

W32/Sdbot-TW tente de se propager sur des partages réseau protégés par des mots de passe faibles. Le ver se connecte par ailleurs à un serveur IRC et s'exécute en tâche de fond surveillant les commandes de porte dérobée issues par l'attaquant distant.

Les fonctionnalités de porte dérobée du ver incluent la capacité à télécharger du code et à l'exécuter ainsi que la participation à des attaques DDoS. W32/Sdbot-TW est un ver de réseau avec des fonctionnalités de porte dérobée.

W32/Sdbot-TW tente de se propager sur des partages réseau protégés par des mots de passe faibles. Le ver se connecte par ailleurs à un serveur IRC et s'exécute en tâche de fond surveillant les commandes de porte dérobée issues par l'attaquant distant.

Les fonctionnalités de porte dérobée du ver incluent la capacité à télécharger du code et à l'exécuter ainsi que la participation à des attaques DDoS.

Lorsqu'il est exécuté pour la première fois, le ver se copie dans le dossier système Windows sous le nom IEXPLORE.EXE et, pour s'exécuter au démarrage du système, crée dans le registre les entrées suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Internet Explorer Configuration IEXPLORE.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Internet Explorer Configuration IEXPLORE.EXE

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Internet Explorer Configuration IEXPLORE.EXE