Nom du programme : FixAbwiz.exe
Taille du fichier : 167.18 Ko
Version : 1
Date de Téléchargement sur le serveur : 15-11-2007 00:00
Catégorie : Utilitaire de desinfection
Description : détecte et élimine
le troyen Trojan.Abwiz.F.Détecté : 22 Mars 2006
Mis à jour : 13 Février 2007 12:51:25 PM
Egalement appelé : Troj/DwnLdr-AKR [Sophos]
Type : Trojan Horse
Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Evaluation de la menace
Virulence
-
Niveau de virulence : Moyen
-
Nombre d'infections : 0 - 49
-
Nombre de sites : 0 - 2
-
Distribution géographique : Faible
-
Contrôle de la menace : Facile
-
Suppression : Facile
Dommages
-
Niveau de dommage : Moyen
-
Déclencheur : Ne s'applique pas
-
Charge utile : Télécharge et exécute des fichiers
distants et permet également à un attaquant distant d'effectuer
diverses actions non autorisées sur l'ordinateur infecté.
-
Envoi de courrier électronique à grande échelle : Ne s'applique pas
-
Supprime les fichiers : Ne s'applique pas
-
Modifie les fichiers : Ne s'applique pas
-
Divulgue des informations confidentielles : Envoie des informations informatiques confidentielles à un attaquant distant.
-
Dégrade les performances : Transmet du spam.
-
Entraîne l'instabilité du système : Ne s'applique pas
-
Compromet les paramètres de sécurité : Ne s'applique pas
Distribution
-
Niveau de distribution : Faible
-
Objet du courrier électronique : Ne s'applique pas
-
Nom de la pièce jointe : Ne s'applique pas
-
Taille de la pièce jointe : Ne s'applique pas
-
Ports : Ne s'applique pas
-
Lecteurs partagés : Ne s'applique pas
-
Cible d'infection : Ne s'applique pas
-
Horodatage de la pièce jointe : Ne s'applique pas
Lorsque Trojan.Abwiz.F s'exécute, il réalise les opérations suivantes :
- Se copie lui-même comme %System%\taskdir.exe.
Remarque : %System% est une variable qui fait référence au
dossier System. Il s'agit par défaut de C:\Windows\System (Windows
95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32
(Windows XP).
- Dépose le fichier %System%\taskdir.dll, et l'ajoute à tous les
processus en cours d'exécution. Ce fichier dll contient les fonctions
rootkit du cheval de Troie. Il cache les fichiers et les processus
contenant la chaîne "taskdir". Il cache également les valeurs de
registre contenant la chaîne "taskdir".
- Dépose le fichier inoffensif %System%\zlbw.dll.
- Ajoute la valeur :
"taskdir" = "%System%\taskdir.exe"
à la sous-clé de registre :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
de sorte qu'il s'exécute à chaque démarrage de Windows.
- Envoie des informations sur l'ordinateur infecté par l'intermédiaire du protocole HTTP à l'adresse IP suivante :
[http://]216.255.179.235/new/cls/main[SUPPRIME]
- Vérifie la présence de la connexion Internet et essaye de
télécharger un fichier de configuration, enregistré à partir des sites
suivants :
- [http://]216.255.179.235/new/cntr/ab.[SUPPRIME]
- [http://]69.50.171.172/n/ab.[SUPPRIME]
- [http://]69.50.161.106/n/ab.[SUPPRIME]
- [http://]69.50.184.194/n/ab.[SUPPRIME]
- Télécharge et exécute des mises à jour de lui-même à partir de l'URL suivante :
[http://]216.255.179.235/new/cntr/bin/lat2[SUPPRIME]
- Ajoute les valeurs :
"ColorTable19" = "[DONNEES DU CHEVAL DE TROIE]"
"ColorTable20" = "[DONNEES DU CHEVAL DE TROIE]"
à la sous-clé de registre :
HKEY_CURRENT_USER
pour stocker des données de configuration.
- Ce cheval de Troie peut être utilisé pour transmettre du spam.
RecommandationsSymantec Security Response encourage
tous les utilisateurs et les administrateurs à adhérer aux "pratiques
d'excellence" suivantes en matière de sécurité : - Désactivez
et supprimez les services inutiles. De nombreux systèmes d'exploitation
installent par défaut des services auxiliaires qui ne sont pas
importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces
services sont des portes ouvertes aux attaques. Si vous les supprimez,
les menaces combinées ont moins de possibilité d'attaque et vous avez
moins de services à protéger grâce aux mises à jour des correctifs.
- Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
- Installez
toujours les dernières versions de correctifs, en particulier sur les
ordinateurs qui accueillent des services publics et qui sont
accessibles via le pare-feu, tels que les services HTTP, FTP, la
messagerie électronique et le DNS. Ainsi, il est recommandé d'installer
le Service Pack le plus récent sur tous vos ordinateurs fonctionnant
sous Windows. En outre, il est recommandé d'appliquer toutes les mises
à jour de sécurité mentionnées dans cet article, dans les bulletins de
sécurité reconnus ou sur les sites Internet de vos fournisseurs.
- Instaurez
une politique de mot de passe. Il est plus difficile d'accéder aux
fichiers protégés par mot de passe sur les ordinateurs infectés si le
mot de passe est complexe. Cela permet d'empêcher ou de limiter les
dommages causés lorsque la sécurité d'un ordinateur est compromise.
- Configurez
votre serveur de courrier électronique afin qu'il bloque ou supprime
les messages électroniques dont les pièces jointes sont des fichiers
couramment utilisés pour diffuser des virus, tels que les fichiers
.vbs, .bat, .exe, .pif ou .scr.
- Isolez rapidement les
ordinateurs infectés afin d'empêcher une autre attaque au sein de votre
entreprise. Effectuez une analyse des incidents et restaurez les
ordinateurs à l'aide de supports approuvés.
- Demandez à vos
employés de ne pas ouvrir de pièces jointes de source inconnue ou non
sollicitées. De même, ne lancez pas de logiciel téléchargé depuis
Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une
simple visite d'un site Internet infecté peut causer une attaque si
certaines vulnérabilités du navigateur n'ont pas été corrigées.
Téléchargements : 213
Auteur : http://www.sospc33.com
Page d'Accueil : http://www.sospc33.com
|
