Deloder.A
est un virus qui
se propage par le réseau en ciblant les machines sous
Windows dont le port 445 est accessible. Le virus tente alors
de se connecter en administrateur en essayant 50 mots de passe
pré-programmés et s'il réussit se copie
sur le disque sous le nom DVLDR32.EXE puis modifie la base de
registres afin d'être exécuté à chaque
démarrage du système. Une fois exécuté,
Deloder.A installe une backdoor puis scanne le réseau
à la recherche de nouvelles machines vulnérables
pour tenter de se propager.
|
PREVENTION
:
Les
utilisateurs concernés doivent mettre à
jour leur antivirus. En cas de doute, les utilisateurs
doivent également s'assurer que le mot de passe
administrateur est suffisamment complexe et en tout
cas pas dans la liste utilisée par le virus.
Les particuliers peuvent enfin installer un firewall
personnel pour protéger leur machine (tester
ensuite la protection via ShieldsUp).
DESINFECTION
:
Avant
de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'antivirus
gratuit en ligne pour rechercher et éliminer
le virus.
|
TYPE
:
Ver
SYSTEME(S)
CONCERNE(S) :
Windows 2000
Windows XP
ALIAS
:
W32/Deloder.worm (Mc Afee)
W32/Deloder-A (Sophos)
W32.HLLW.Deloder (Symantec)
WORM_DELODER.A (Trend Micro)
TAILLE
:
745.984 octets
DECOUVERTE
:
09/03/2003
DESCRIPTION
DETAILLEE :
Deloder.A se
propage par le réseau en ciblant les machines sous
Windows dont le port 445 (Server Message Block) est accessible.
Le virus tente alors de se connecter en administrateur à
l'ordinateur distant en essayant successivement 50 mots de
passe parmi les plus courants :
- [vide]
- 000000
- 00000000
- 111111
- 11111111
- 121212
- 123123
- 12345
- 123456
- 1234567
- 12345678
- 123456789
- 1234qwer
- 123abc
- 123asd
- 123qwe
- 54321
- 654321
- 88888888
- abc123
- Admin
- admin
- admin123
- administrator
- alpha
- computer
- database
- enable
- foobar
- godblessyou
- ihavenopass
- Internet
- Login
- login
- mypass
- mypc123
- oracle
- owner
- passwd
- Password
- password
- patrick
- pw123
- secret
- server
- super
- sybase
- temp123
- test123
- ypass123
S'il réussit,
il se copie sur le disque sous le nom DVLDR32.EXE puis modifie
la base de registres afin d'être exécuté
à chaque démarrage du système. Une fois
exécuté, Deloder.A installe une backdoor INST.EXE
puis scanne le réseau à la recherche de nouvelles
machines vulnérables.
INFORMATIONS
COMPLEMENTAIRES :
->
FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|
