Wallz est un virus qui se propage via le réseau
et qui cible les ordinateurs vulnérables à la faille Microsoft
LSASS. Si une machine connectée à Internet n'est pas à jour
dans ses correctifs, Wallz l'infecte via le port TCP 445 sans
intervention de l'utilisateur, se connecte à un serveur
distant afin de lui communiquer l'adresse IP de la machine infectée,
puis scanne le réseau à la recherche de nouvelles machines vulnérables.
Le virus n'est pas destructif mais chaque attaque peut provoquer
un redémarrage de l'ordinateur.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
de Windows NT, 2000, XP et 2003 doivent également
mettre à jour leur système via le site
de Microsoft ou le service WindowsUpdate
afin de corriger la faille LSASS exploitée par
le virus pour s'exécuter automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les
utilisateurs ne disposant pas d'un antivirus peuvent
utiliser gratuitement l'antivirus
gratuit en ligne pour rechercher et éliminer
le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Net-Worm.Win32.Small.b (KAV)
W32.Wallz@mm (Symantec)
TAILLE :
6.578 octets
DECOUVERTE :
07/02/05
DESCRIPTION DETAILLEE :
Wallz est un virus qui se propage via le réseau.
Si une machine connectée à Internet n'est pas
à jour dans ses correctifs ni protégée
par un pare-feu correctement configuré, Wallz l'infecte
via le port TCP 445 en utilisant la faille LSASS de Windows.
Le virus se copie alors dans le répertoire Système
sous le nom winpnp32.exe, modifie la base de registres pour
s'exécuter à chaque démarrage, puis balaye
le réseau à la recherche de nouvelles machines
vulnérables. L'exploitation de la faille LSASS rend
le système instable, d'où un plantage et redémarrage
automatique du système (erreur : "LSA Shell has
encountered a problem and needs to close. We are sorry for
the inconvenience"). Le virus créé enfin
un fichier Debug\dcpromo.log dans le répertoire Windows
et tente de se connecter à un serveur IRC distant afin
de lui communiquer l'adresse IP de chaque machine infectée.
Sous Windows XP, un message d'erreur s'affiche à l'initiative
de Autorite NT\System, puis l'ordinateur redémarre
automatiquement après 60 secondes. Si ce délai
ne vous laisse pas le temps de télécharger le
correctif, il est possible de stopper le compte à rebours
et d'annuler le redémarrage automatique en procédant
de la manière suivante : cliquez sur le bouton "Démarrer",
sélectionnez "Exécuter...", entrez " shutdown -a
" puis cliquez "Ok" (cette opération n'est valable
que pour Windows XP).
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|