Randex est une famille de virus qui se propagent
via les dossiers partagés dont l'accès est protégé
par un mot de passe insuffisamment fort. Si une machine connectée
à Internet est vulnérable, Randex l'infecte puis
scanne le réseau à la recherche de nouvelles machines
vulnérables pour les infecter. Le virus installe par
ailleurs une porte dérobée qui autorise la prise
de contrôle à distance de l'ordinateur contaminé
par une personne malveillante et qui se connecte à un
canal IRC prédéterminé en attente des ordres
à exécuter.
|
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
doivent également supprimer
les partages de ressources inutiles et protéger
les autres par mot de passe afin de prévenir
toute propagation du virus.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection Stinger pour rechercher et
éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
ALIAS :
Randex (F-Secure)
Worm.Win32.Sluter (Kaspersky)
W32/Slanper.worm (McAfee)
W32/Randbot.worm (McAfee)
W32/Sdbot.worm.gen (McAfee)
W32/Randex (Sophos)
W32.Randex (Symantec)
W32.Randex.gen (Symantec)
WORM_SLUTER (Trend Micro)
WORM_SLUTER.GEN (Trend Micro)
WORM_RANDEX.GEN (Trend Micro)
W32/Sluter.worm.gen
Backdoor.SdBot.gen
Gesfm
Piebot
TAILLE :
variable
DECOUVERTE :
09/06/2003
DESCRIPTION DETAILLEE :
Randex est une famille de virus ciblant les ordinateurs
dont l'accès est protégé par un mot de
passe insuffisamment fort. Randex tente de se connecter aux
machines connectées à Internet en essayant une
liste de mots de passe prédéterminés
("admin", "root", "1", "111", "123", "1234", "123456", "654321",
etc.) : s'il réussit, le virus infecte l'ordinateur
en se copiant dans le répertoire System de Windows
(notamment sous le nom wuamgrd exe), modifie la base de registres
afin d'être exécuté à chaque démarrage
de l'ordinateur, puis scanne le réseau à la
recherche de nouvelles machines vulnérables pour les
infecter.
Le virus installe une porte dérobée qui autorise
la prise de contrôle à distance et l'utilisation
par une personne malveillante de l'ordinateur contaminé
(téléchargement et exécution de programmes
à l'insu de l'utilisateur, etc.) et qui se connecte
immédiatement à un canal IRC (Internet Relay
Chat) prédéterminé en attente de commandes
à exécuter. Selon la variante, il est également
capable de récupérer la clé de licence
de certains logiciels installés sur l'ordinateur infectés
ou de lancer des attaques DoS.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|
