Gaobot est une famille de virus ciblant les
ordinateurs vulnérables notamment à la faille
RPC de Microsoft. Si une machine connectée à Internet
n'est pas à jour dans ses correctifs, Gaobot l'infecte
via le port 135, 445 ou 80 puis scanne le réseau à
la recherche de nouvelles machines vulnérables. Il installe
par ailleurs une backdoor qui permet la prise de contrôle
à distance de l'ordinateur contaminé. L'application
des correctifs est impérative avant la désinfection
de l'ordinateur pour empêcher de virus de réinfecter
l'ordinateur.
|
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
de Windows NT, 2000, XP et 2003 doivent également
mettre à jour leur système via le service
WindowsUpdate
(en français) afin de corriger les failles de
sécurité exploitées par le virus
pour s'exécuter automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FxGaobot pour rechercher
et éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
ALIAS :
Agobot (F-Secure)
Backdoor.Agobot (Kaspersky)
W32/Gaobot.worm (McAfee)
W32/Agobot (Sophos)
W32.HLLW.Gaobot (Symantec)
W32.HLLW.Gaobot.Gen (Symantec)
W32.HLLW.Gaobot.AG (Symantec)
W32.HLLW.Gaobot.AO (Symantec)
W32.Gaobot.SY (Symantec)
W32.Gaobot.ZX (Symantec)
W32.Gaobot.ADX (Symantec)
W32.Gaobot.AJD (Symantec)
WORM_AGOBOT (Trend Micro)
WORM_AGOBOT.GEN (Trend Micro)
w32.hllw.gaobot.gen
w32.hllw.gaobot.qen
Worm/ForBot
TAILLE :
variable
DECOUVERTE :
21/11/2003
DESCRIPTION DETAILLEE :
Gaobot est une famille de virus qui se propagent via le
réseau. Si une machine connectée à Internet
n'est pas à jour dans ses correctifs, Gaobot l'infecte
via le port TCP 135, 445 ou 80 en utilisant les failles RPC
et WebDAV
: il provoque le téléchargement d'un fichier
contenant le virus, puis son exécution sans aucune
intervention de l'utilisateur et se copie dans le répertoire
System de Windows (notamment sous le nom wuamgrd exe). Une
fois l'ordinateur infecté, le virus modifie la base
de registres pour s'exécuter à chaque démarrage
de l'ordinateur, puis scanne ensuite continuellement le réseau
à la recherche de nouvelles machines vulnérables.
Gaobot tente de désactiver les antivirus et firewalls
les plus populaires, puis installe par ailleurs une backdoor
qui permet la prise de contrôle à distance via
IRC
L'exploitation de la faille RPC par le virus rend souvent
le système instable. Sous Windows 2000, cela se traduit
par un plantage de l'ordinateur et/ou un message d'erreur
impliquant le processus svchost.exe. Sous Windows XP, un message
d'erreur s'affiche à l'initiative de Autorite NT\System,
puis l'ordinateur redémarre automatiquement après
60 secondes :
Si ce délai de 60 secondes ne vous laisse pas le
temps de télécharger le correctif, il est possible
de stopper le compte à rebours et d'annuler le redémarrage
automatique en procédant de la manière suivante : cliquez
sur le bouton "Démarrer", sélectionnez "Exécuter...",
entrez " shutdown -a " puis cliquez "Ok". Cette
opération n'est valable que pour Windows XP. La mise à
jour des machines sous Windows NT, 2000, XP et 2003 est impérative
pour combler les failles exploitées par le virus pour
s'exécuter automatiquement.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|
