Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Rbot.SAD
La date de la découverte:31/07/2008
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:37.376 Octets
Somme de contrôle MD5:18833b95b2c136e13febd329c84163cc
Version IVDF:7.00.05.197 - jeudi 31 juillet 2008

 Général Méthode de propagation:
   • Programme de messagerie


Les alias:
   •  Mcafee: W32/Sdbot.worm.gen.co
   •  Sophos: Mal/Generic-A
   •  Panda: W32/Oscarbot.XV
   •  Eset: Win32/AutoRun.US
   •  Bitdefender: Trojan.Agent.AJNT


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\service.exe



Il supprime sa propre copie, exécutée initialement




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://browseusers.myspace.com/Browse/**********

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Taskmanager"="service.exe"



La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "Windows Taskmanager"="service.exe"



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   La nouvelle valeur:
   • "Windows Taskmanager"="service.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   DisallowRun]
   La nouvelle valeur:
   • "1"="MSNCleaner.exe"
   • "2"="avp.exe"
   • "3"="kav.esp.msi"
   • "4"="msconfig.exe"

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– MSN Messenger

Le URL se rapporte alors à une copie du malware décrit. Si l'utilisateur télécharge et exécute ce fichier le procédé d'infection commencera encore.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: update.xx**********.com
Port: 1863
Canal: #!m!
Pseudonyme: [N00|USA|%nombre%]

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le lundi 8 mars 2010
Description mise à jour par Petre Galan le lundi 8 mars 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.