Wargbot est un virus qui se propage via le logiciel
AOL Instant Messenger (AIM), les dossiers partagés ainsi que
le réseau. Exploitant une faille Microsoft récemment
corrigée, il est capable d'infecter automatiquement les ordinateurs
connectés à Internet fonctionnant sous Windows 2000
et XP SP1 non à jour dans leurs correctifs. Une fois installé,
le virus ouvre une porte dérobée permettant à
un individu de prendre le contrôle à distance de l'ordinateur
infecté.
|
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. En cas de doute, les utilisateurs de
Windows 2000, XP et 2003 doivent également mettre à
jour leur système afin de corriger la faille
affectant le Service Serveur (MS06-040) exploitée
par le virus pour s'exécuter automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection de
l'ordinateur par le virus. Les
utilisateurs ne disposant pas d'un antivirus peuvent utiliser
gratuitement l'antivirus
gratuit en ligne pour rechercher et éliminer le
virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Win32/Cuebot.J (CA)
Backdoor.Win32.IRCBot.st (F-Secure)
IRC-Mocbot!MS06-040 (Mc Afee)
W32/Cuebot-M (Sophos)
W32.Wargbot (Symantec)
WORM_IRCBOT.JK (Trend Micro)
WORM_IRCBOT.JL (Trend Micro)
TAILLE :
9.609 octets
DECOUVERTE :
12/08/2006
DESCRIPTION DETAILLEE :
Wargbot est un virus qui se propage via le logiciel AOL Instant
Messenger (AIM), les dossiers partagés ainsi que le réseau.
Il est ainsi capable d'infecter les ordinateurs non à jour
dans leurs correctifs fonctionnant sous Windows 2000 et XP SP1 via
le port TCP 445 durant leur connexion à Internet sans aucune
intervention de l'utilisateur, en exploitant la faille
Microsoft Service Serveur (MS06-040) annoncée et corrigée
le 08/08/06.
Une fois exécuté, le virus se copie dans le répertoire
System sous le nom wgareg.exe ou wgavm.exe en tentant de se faire
passer pour un composant "Windows Genuine Advantage",
puis ouvre une porte dérobée permettant à un
individu de prendre le contrôle à distance de l'ordinateur
infecté et d'effectuer diverses actions dont le téléchargement
de fichier ou le lancement d'attaque par déni de service
contre d'autres ordinateurs. Il tente de se propager en envoyant
le cas échéant un message aux contacts AIM contenant
un lien destiné à provoquer son téléchargement
ainsi qu'en scannant le réseau à la recherche d'autres
machines vulnérables à la faille Service Serveur.
La propagation de ce virus reste pour l'instant limitée
car il utilise un exploit (code informatique) récemment rendu
public qui ne fonctionne pas dans le cas des ordinateurs sous Windows
XP SP2 et 2003 Server. L'apparition d'un nouvel exploit et d'une
nouvelle variante du virus est cependant à craindre, aussi
l'application des correctifs de sécurité est urgente
pour les retardataires utilisateurs d'ordinateurs sous Windows 2000,
XP et 2003.
INFORMATIONS COMPLEMENTAIRES :
-> Vulnérabilités
critiques dans Windows (08/08/06)
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|
