W32/Winur-A

Veuillez suivre les instructions de suppression des vers.

Veuillez lire les instructions de suppression des vers.

Vous aurez aussi besoin d'éditer dans la base de registre les entrées suivantes, si présentes.

Dans la barre des tâches de Windows, sélectionnez Démarrer|Exécuter. Tapez "Regedit". L'éditeur de registre s'ouvrira.

Avant d'éditer le registre, vous devrez faire une sauvegarde du registre. Dans le menu Registre, cliquez sur Exporter le fichier du registre, dans Etendue de l'exportation, sélectionnez Tout puis sauvegardez votre registre.

Recherchez l'entrée HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Msconfig

et supprimez toute référence à Msconfig. Puis recherchez l'entrée HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Winrun

et supprimez toute référence à Winrun.

Fermez l'éditeur de registre.

Vous devrez aussi désinstaller puis réinstaller toutes les copies de KaZaA et de Grokster.

W32/Winur-A est un ver qui exploite les réseaux peer-to-peer KaZaA et Grokster et aussi les fonctionnalités de partage de fichiers du système de messagerie ICQ.

Lorsque W32/Winur-A est exécuté, des copies du ver portant les noms de fichier suivants sont créées dans C:\winrun et le dossier partagé de ICQ :

Britney spears game.exe
Age of Empire crack.exe
EA games Keygen.exe
Christina Aguilera game.exe
Lord of the rings VCD.exe
All Microsoft games crack.exe
Anno 1503 Crack - No cd.exe
Stronghold Crusader crack- All versions [noCD]
Rollercoaster tycoon 2 crack.exe
American concuest crack.exe
Highland warriors crack.exe
Frontline attack war over Europe noCD crack.exe
Tropico crack.exe
Dvd ripper.exe
Beach life crack nocd.exe
Stuart Little 2 crack game noCD.exe
Love calculator.exe
Nikki cox game and movie.exe
Stop the war (intro).exe
Hotmailhacker v1.0.exe
Hotmail account hacker in 30 minutes.exe
Warcraft 3 crack.exe
Age of Mythology crack.exe
MSN Messenger commercial crack.exe
Justin Timberlake Debute movie.exe
Driver 2 crack.exe
Most important hacker tool ever!.exe
Website hacker v1.0.exe
Die another day flash movie.exe
Die another day flash movie(1).exe
Die another Day DVD full.exe
James Bond game - Die another day.exe
Windows XP license crack.exe
Office XP license crack.exe
MSN Password crack.exe
MXlinx 0.30 crack.exe
Klez fixtool.exe
Yaha Fixtool.exe
pornmovie (hardcore sex adult asian).exe
Windows Me crack.exe
Hotmail hacker.exe
Adobe Photoshop crack.exe
Red Alert cracker crack - All versions (yuri, 1 ,2 etc)
Super 2000key keygen.exe
John the ripper v1.0.exe
Jack the ripper v1.0.exe
Jackie chan dvd collection.exe
Microangelo crack.exe
virus_filter.exe
Norton antivirus crack.exe
Mcafee virusscanner crack.exe
Esafe desktop protection crack.exe
Frontpage cracker.exe
Bugbear remover.exe
AOL password stealer.exe
AOL hacker.exe
ICQ password stealer.exe
ICQ hacker.exe
Rollercoaster tycoon cracker.exe
Theme park world cracker.exe
Shriek DVD crack patch.exe
Adobe photoshop crack.exe
Free ADSl.exe
mp3 ripper.exe.exe
Powerful MP3 ripper.exe
Sim City 4 [noCD].exe
Sim City 4 - no cd crack.exe
Sim City 4 - no cd patch.exe
Fifa 2003 crack.exe
Fifa 2004 crack.exe
Mafia game crack noCD.exe
GTA3 game crack noCD.exe
GTA 3 game crack noCD.exe
Sim city 4 crack.exe
The Sims crack.exe
MSN 5.0 Banner remover.exe
Webcracker.exe
Icon extractor v1.7 - full.exe
Red Alert 2 [noCD].exe
IgnoreAll.exe
Red Alert 2 YR [noCD].exe
MSN PLUS!.exe
Mad Jack crack.exe
MadJack crack.exe
msconfig.exe

Les dossiers partagés de KaZaA et de Grokster sont configurés à C:\Winrun par les entrées suivantes de la base de registre :

HKCU\Software\Kazaa\LocalContent\dir0
HKCU\Software\Grokster\LocalContent\Dir0

Les entrées suivantes de la base de registre sont éditées pour que le ver soit exécuté en utilisant le fichier C:\Winrun\msconfig.exe lorsque Windows démarre :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Msconfig
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Winrun

Une copie du ver est ajoutée dans le dossier racine sous le nom de fichier klez_removal.exe et une copie supplémentaire est créée dans toutes les disquettes présentes sur le lecteur A: sous le nom de fichier IMPORTANT - READ THIS.DOC<62 espaces>.exe.

Le 25 de chaque mois, W32/Winur-A exécute une attaque par déni de service sur le site www.kuklxklan.org. Le 5 de chaque mois, la même attaque cible le site www.whitepower.org et le 15, la cible est www.kkk.org.

W32/Winur-A est aussi capable de se propager via les partages réseau sur l'importe quel emplacement sous le nom de fichier msoffice32.exe :

C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\
C:\windows\start menu\Programma's\Opstarten\
C:\windows\Start Menu\Programs\StartUp\
C:\Documents and Settings\All Users\Start menu\programs\startup\

Les fichiers autostart.bat et ntwrk32.dll sont créés dans le dossier racine. Aucun de ces fichiers n'est malveillant et autostart.bat est supprimé lorsque la minute est 15, 35 et 55.