Virus | Spyware
Salga.A
À l'aide de ces sites Web, vous pouvez écarter le virus Salga.A:
écarter Salga.A virus
w32.salga.a@mmW32.Salga.A@mm est un ver d'masse-expédition qui emploie Microsoft Outlook pour s'envoyer à toutes les adresses d'email qu'il trouve dans le carnet d'adresses de perspectives. Le ver essaye également d'écarter par le mIRC, dossier-partageant des réseaux, et des parts de réseau.En outre Connu En tant que: W32/Salga.a@MM [ McAfee ]
Quand W32.Salga.A@mm est exécuté, il effectue les actions suivantes :
Copies elle-même en tant que suivant, si les chemises existent :
exe
%Windir%\system\system copy.exe
%Windir%\system32\egywormo[gen1].exe
%Windir%\acdsee demo.exe
%Windir%\All Users\Start Menu\Programs\StartUp\anâ1.exe
%Windir%\Start Menu\inter speeder.zip.exe net
causerie prog.zip.exe de menu\programs\new de %Windir%\start
C:\Britny transperce le marrage avec Bnladensun.zip
C:\Documents et Settings\All Users\Start Menu\Programs\Startup\egy~1
Substance film.zip.exe de C:\Documents et de Settings\All Users\DESKTOP\holywood
C:\Documents et Settings\All Users\Start Menu\nicole cam.zip.exe sexy kidman
C:\Documents et Settings\All Users\Start Menu\Programs\your cam.zip.exe sexy
Graphices maker.zip.exe de C:\Documents et de Settings\All Users\Start Menu\Programs\Accessories\magic
exe de %ProgramFiles%\Accessories\Nicole Kidman.zip...............
%ProgramFiles%\Accessories\BRITNY TRANSPERCE l'exe de MARRAGE.zip...............
exe de la vache boy.zip à %ProgramFiles%\Accessories\Is Bnladen realy...............
exe de %ProgramFiles%\Accessories\Details.zip...............
%ProgramFiles%\Accessories\Details de nouvel exe de friends.zip...............
exe de %ProgramFiles%\Accessories\kasper2005.zip...............
exe du sexe files.zip de %ProgramFiles%\Accessories\hard...............
%ProgramFiles%\mirc\Britny transperce le mariage avec Bnladen son.zip.exe
%ProgramFiles%\mirc32\Britny transperce le mariage avec Bnladen son.zip.exe
Notes :
%Windir% est une variable qui se rapporte à la chemise d'installation de Windows. Par défaut, c'est C:\Windows ou C:\Winnt.
%ProgramFiles% est une variable qui se rapporte à la chemise de dossiers de programme. Par défaut, c'est des dossiers de C:\Program.
Ajoute les valeurs suivantes :
"xp de système" = "%Windir%\acdsee demo.exe"
"fenêtres" = "%Windir%\system\system copy.exe"
à la clef d'enregistrement :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
de sorte que le ver fonctionne chaque fois Windows commence.
Recouvre les dossiers suivants :
%ProgramFiles%\mIRC\script.ini
%ProgramFiles%\mIRC32\script.ini
de sorte qu'il puisse envoyer le dossier suivant à d'autres utilisateurs d'IRC qui se relient au même canal que l'ordinateur infecté :
Britny transperce le mariage avec Bnladen son.zip.exe
Crée les chemises suivantes :
came de %Windir%\All Users\Desktop\sex
C:\Britny
Crochet de noyau de C:\hard d'enchaînement
D:\hook tous les films de sexe des enchaînements
Alerte de ver d'ordinateur de D:\new
PROGRAMMES DE D:\NEW
Téléphones de sexe d'E:\real
Crée les copies suivantes de lui-même :
photoes de cam\sex de %Windir%\All Users\Desktop\sex de monika.zip.exe
C:\Britny\NEW FILM.ZIP.EXE
Crochet de noyau de C:\hard de web\setup.zip.exe
D:\hook tous les films de sexe de webs\setup.zip.exe
D:\FUN.ZIP.EXE
D:\girlfriends emails.zip.exe
E:\blood de cherchent sex.zip.exe
Sexe telephones\me.zip.exe d'E:\real
E:\Messenger 9.00.ZIP.EXE
Crée le dossier D:\autorun.inf contenant les lignes suivantes :
[ autorun ]
open=FUN.ZIP.EXE
Crée un dossier E:\autorun.inf contenant les lignes suivantes :
[ autorun ]
open=Messenger 9.00.ZIP.EXE
Crée la chemise Folder\Shared partagé par %ProgramFiles%\Kazaa\My et se copie à cette chemise en tant que ce qui suit :
les brests sexy énormes programment v 1.7.00.zip.exe
version 10.1.zip................exe du msn 3d
ceci classe est exe très secret de files.zip.........
nouvel exe de film.zip.........
exe d'i robot.zip.........
anti exe de virus.zip.........
exe du feu wall.zip.........
exe de news.zip.........
exe de yahoo.zip.........
exe d'aol.zip.........
exe de mirc.zip.........
exe de hack.zip.........
exe de virus.zip.........
exe de l'animal photos.zip.........
Exe des Etats-Unis secrets.zip.........
exe de la photo shop.zip.........
exe du deutsh programs.zip.........
exe de wwf.zip.........
exe de tourism.zip.........
exe de fear.zip.........
exe d'autocade.zip.........
......... exe 3dstoudio.zip
scince d'exe de water.zip.........
exe du bureau 2005.zip.........
exe d'antibiotics.zip.........
exe de viagra.zip.........
exe de base visuel de projects.zip.........
Exe de FBI secrets.zip.........
Le FOOTBALL DANS l'exe d'ENGLAND.zip.........
Exe du JOUET 2006.zip.........
Exe de Britny Spears.zip.........
Exe de Dracola.zip.........
exe de pebsi.zip.........
exe des nouvelles paper.zip.........
exe de cocacola.zip.........
exe de songs.zip.........
exe du norton 2005.zip.........
exe du xxl plus.zip.........
exe de lesbien.zip.........
exe dur de core.zip.........
exe du sexe plus.zip.........
ordinateurs dans......... l'exe 2010.zip
écran Saver).scr.............exe de ssParis_Hilton_(Nude
Exe de Win32System_Tweaks_v1.0.zip.........
exe de la mme. games.zip.........
Exe de Virtual_3D_Pinball.zip.........
ssPamela_Anderson_(Naked l'exe de l'écran Saver).scr.........
Exe de Game_Crack_Genie_v0.5.zip.........
Exe de MsDos_PortScanner.zip.........
Exe de Wmplayer_Celebrity_Skins.zip.........
Exe de l'onde de choc Flash.zip.........
Exe de SWF_Movie.zip.........
Exe de FlashMovie.zip.........
Exe de XXX video.zip.........
Le chat attaque l'exe de child.zip.........
Exe de SWF.zip.........
Exe du comédie video.zip.........
Épisode de Simpsons (#......... exe 36)..zip
Vidéo d'instruction sur entailler......... l'exe
Exe 6.0.zip instantané de MacroMedia.........
[ SWF ] - l'exe rapide et de Furious.zip.........
[ SWF ] - exe d'espadons.........
[ SWF ] - Harry Traînent et l'exe des philosophes stone.zip.........
le grand dans l'exe de world.zip.........
Ajoute la valeur :
"StartKazaa - SilentRun" = "%ProgramFiles%Folder\Shared Partagé \Kazaa\My"
à la clef d'enregistrement :
HKEY_CURRENT_USER\Software\Kazaa\Transfer
Ajoute le subkey :
"Britny"
à la clef d'enregistrement :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\LanmanServer\Shares
Ajoute la valeur :
"SystemRestore" = "1"
à la clef d'enregistrement :
HKEY_LOCAL_MACHINE\SOFTWARE \NT De Policies\Windows
Ajoute le subkey :
"SystemRestore"
à la clef d'enregistrement :
HKEY_LOCAL_MACHINE\SOFTWARE \NT De Policies\Windows
Copies elle-même à toutes les chemises dont le nom contient la corde "shar," et à leurs subfolders, en tant que ce qui suit :
Lances de Britny et viedio de sexe de Madona dans 24 only.zip minimum.................exe
L'Irak war.zip.................exe
derniers messagers versions.zip.................exe
apprenez le magasin de photo en 3 jours only.zip.................exe
nouveau cupied photos.zip.................exe
les nouveaux email de filles avec là téléphonent numbers.zip.................exe
allover fort de mur coupe-feu le monde avec la mise à jour de thelast de norton.zip.................exe
Les Etats-Unis discvered l'eau en Mars yesterday.doc.zip.................exe
Copies elle-même aux parts cachées en tant que ce qui suit :
Mot de \windows\system32\pass du hotmail store.zip................exe
\winnt\systemm32\speial filme des liens dans net.zip.............................exe
\documment et users\documents\secret documents.zip......................exe de settings\all
Générateur de \money très dengerous et secrt.zip..........................exe
\shared\my sallary chaque exe d'increaser de mmonth.................................
photoes d'ip\secret de mon chat.zip...............................exe
admin$\system32\see ceci c'est très intersting.zip...................................exe
Crée une part de réseau appelée "Britny", qui trace à C:\Britny.
Envoie le message suivant à d'autres utilisateurs en utilisant Netsend :
Message [ nom d'ordinateur infecté ] [ équipe de travail ] de dessus [ temps ] :
* salut bienvenue dans notre réseau vous pouvez voir le nouveau film des lances de Britny à partir de l'ordinateur que montré l'est le film très intéressant ou le voir également de n'importe quelle chemise partagée < < temps intéressant habby en notre Bi net de café > >
Ouvre un navigateur de Web et montre une Page Web du domaine originalicons.com.
Crée l'alert\virus alert.txt de ver d'ordinateur du dossier D:\new.
Envoie quelques messages d'email avec les caractéristiques suivantes, en utilisant Microsoft Outlook :
: mgasalgya_4ever@hotmail.com
Objet : (un du suivant)
Nouveau victem de monsieur
Egywormo donnent son email de monsieur de victem
Message : (un du suivant)
Hi:sir je suis votre serveur Egywormo[gen1 ] que c'est un nouveau victem qui a pour posséder le caputre de la machine i de perspectives ses contacts et aller là les infecter.... corrects j'irai maintenant et vous verrai bientôt quand j'infecte plus...... monsieur de bibi
mot de passe d'email de victem
Envoie une copie de lui-même car un attachement à toutes les adresses d'email qu'il trouve dans le carnet d'adresses de perspectives.
L'email a les caractéristiques suivantes :
Objet : (un du suivant)
Secrets kidman de Nicole
BRITNY TRANSPERCE MARRAGE
Est le garçon de vache à Bnladen realy
Pour contacter de nouveaux amis
Chance pour holyday
Nouvelle version de mur coupe-feu de kasper
DOSSIERS SEXY
Message : (un du suivant)
Bonjour, c'est les dossiers secrets de < < Nicole Kidman > > contiennent ses photoes sexy en Floride, elle les crédits, la partie de son nouveau film {jours de Bn-laden} et elle des numers de téléphones avec ici email.....see il et nous rejouent..... que ce veuillez être les dossiers très intéressants..bibi de secret
Bonjour, c'est les dossiers secrets de < < Britny transperce > > contiennent ses photoes de marrage dedans
le Texas, une partie de sa partie de marrage et ses réactions au sujet du madona.....see il et nous rejouent..... que ce veuillez être les dossiers très intéressants..bibi de secret
Bonjour : M. ou manquent quelques amricans disent que le befor 20 ans de Bnladen était garçon de vache ces photoes et les parties de vidioes le prouvent < des < photos et des vedioes dans le dossier d'attachement > >
Si u que vous voulez avoir l'anice holyday vous doit nous appeler au ce les adress Etats-Unis MITCHGEN et nous donnerons des détails d'offre de greate dans cet attachement
Hi:miss ou M. vous pouvez contacter de nouveaux amis tous jamais les deatails du monde dans le dossier d'attachmment
c'est la nouvelle mise à jour et la dernière version du mur coupe-feu de kasper qu'elle contient plus et de nouveaux avantages
Cet attachmment contiennent les photos sexy très dures avec une partie d'intérêt sexy de films et nous rejouent
Hi;this est quelques photoes de marrage de Britney Spears avec le fils de Bnladen dans le so<<<
Attachement : Britny transperce le marrage avec Bnladensun.zip
La réponse de sécurité de Symantec encourage tous les utilisateurs et administrateurs à adhérer à la sécurité de base suivante les "meilleures pratiques" :
Arrêtez et enlevez les services inutiles. Par défaut, beaucoup de logiciels d'exploitation installent des services auxiliaires qui ne sont pas critiques, comme un ftp server, telnet, et un serveur de Web. Ces services sont des avenues d'attaque. S'ils sont enlevés, les menaces mélangées ont moins d'avenues d'attaque et vous avez peu de services à maintenir par des mises à jour de pièce rapportée.
Si une menace mélangée exploite un ou plusieurs services de réseau, neutralisez, ou bloquez l'accès à, services jusqu'à ce qu'une pièce rapportée soit appliquée.
Maintenez toujours vos niveaux de pièce rapportée à jour, particulièrement sur les ordinateurs qui accueillent des services publics et sont accessibles par le mur à l'épreuve du feu, tel que le HTTP, le ftp, le courrier, et les services de DNS (par exemple, tous les ordinateurs windows-based devraient avoir le paquet courant de service installé). En plus, appliquez svp toutes les mises à jour de sécurité qui sont mentionnées dans cette description, dans les bulletins de confiance de sécurité, ou sur des emplacements de Web de fournisseur.
Imposez une politique de mot de passe. Les mots de passe complexes le rendent difficile de fendre des dossiers de mot de passe sur les ordinateurs compromis. Ceci aide à empêcher ou limiter des dommages quand un ordinateur est compromis.
Configurez votre serveur d'email pour bloquer ou enlever l'email qui contient les attachements de dossier qui sont généralement utilisés pour écarter des virus, tels que des dossiers de vbs, de bat, d'exe, de pif et de scr.
Isolez les ordinateurs infectés rapidement pour empêcher compromettre plus loin votre organisation. Exécutez une analyse légale et reconstituez les ordinateurs en utilisant des médias de confiance.
Formez les employés pour ne pas ouvrir des attachements à moins qu'ils les attendent. En outre, n'exécutez pas le logiciel qui est téléchargé de l'Internet à moins qu'il ait été balayé pour des virus. Visiter simplement un emplacement compromis de Web peut causer l'infection si certaines vulnérabilités de navigateur ne sont pas raccordées.
Les instructions suivantes concernent tous les produits courants et récents d'antivirus de Symantec, des produits y compris de Symantec AntiVirus et de Norton AntiVirus.
Neutralisez La Restauration De Système (Windows Me/XP).
Mettez à jour les définitions de virus.
Courez un plein balayage de système et supprimez tous les dossiers détectés comme W32.Salga.A@mm.
Supprimez la valeur qui a été ajoutée à l'enregistrement.
Supprimez les chemises créées par la menace.
Pour les détails spécifiques sur chacune de ces étapes, lisez les instructions suivantes.
1. Pour neutraliser la restauration de système (Windows Me/XP)
Si vous courez Windows moi ou Windows.xp, nous recommandons que vous arrêtez temporairement la restauration de système. Windows Me/XP emploie ce dispositif, qui est permis par défaut, pour reconstituer les dossiers sur votre ordinateur au cas où ils deviendraient endommagés. Si un virus, un ver, ou un Trojan infecte un ordinateur, la restauration de système peut soutenir le virus, le ver, ou le Trojan sur l'ordinateur.
Windows empêche des programmes extérieurs, y compris des programmes d'antivirus, de la restauration de modification de système. Par conséquent, les programmes d'antivirus ou les outils ne peuvent pas enlever des menaces dans la chemise de restauration de système. En conséquence, la restauration de système a le potentiel de reconstituer un dossier infecté sur votre ordinateur, même après que vous avez essuyé les dossiers infectés tous les autres endroits.
En outre, un balayage de virus peut détecter une menace dans la chemise de restauration de système quoique vous ayez enlevé la menace.
Pour des instructions sur la façon dont arrêter la restauration de système, lisez votre documentation de Windows, ou un des articles suivants :
"comment neutraliser ou permettre Windows je restauration de système"
"comment arrêter ou allumer la restauration de système de Windows.xp"
Note : Quand vous êtes complètement fini avec la méthode de dépose et êtes satisfait que la menace a été enlevée, permettez à nouveau à la restauration de système par après les instructions dans les documents mentionnés ci-dessus.
Pour l'information additionnelle, et une alternative à neutraliser Windows je restauration de système, voit l'article de base de connaissance de Microsoft, des "outils d'Antivirus ne peut pas nettoyer les dossiers infectés dans _ la chemise de restauration," identification d'article : Q263455.
2. Pour mettre à jour les définitions de virus
La réponse de sécurité de Symantec examine entièrement toutes les définitions de virus pour la garantie de la qualité avant qu'elles soient signalées à nos serveurs. Il y a deux manières d'obtenir les définitions de virus les plus récentes :
LiveUpdate fonctionnant, qui est la manière la plus facile d'obtenir des définitions de virus : Ces définitions de virus sont signalées aux serveurs de LiveUpdate une fois que chaque semaine (habituellement le mercredi), à moins qu'il y ait une manifestation importante de virus. Pour déterminer si les définitions pour cette menace sont disponibles par LiveUpdate, référez-vous aux définitions de virus (LiveUpdate).
Téléchargement des définitions en utilisant l'Updater intelligent : Les définitions intelligentes de virus d'Updater sont signalées quotidiennement. Vous devriez télécharger les définitions de l'emplacement de Web de réponse de sécurité de Symantec et manuellement les installer. Pour déterminer si les définitions pour cette menace sont disponibles par l'Updater intelligent, référez-vous aux définitions de virus (Updater intelligent).
Les définitions intelligentes de virus d'Updater sont disponibles : Lu "comment mettre à jour la définition de virus classe en utilisant l'Updater intelligent" pour des instructions détaillées.
3. Pour balayer pour et supprimer les dossiers infectés
Commencez votre programme d'antivirus de Symantec et assurez-vous qu'il est configuré pour balayer tous les dossiers.
Pour des produits de consommation de Norton AntiVirus : Lisez le document, "comment configurer Norton AntiVirus pour balayer tous les dossiers."
Pour des produits d'entreprise de Symantec AntiVirus : Lisez le document, "comment vérifier qu'un produit de corporation d'antivirus de Symantec est placé pour balayer tous les dossiers."
Courez un plein balayage de système.
Si des dossiers sont détectés comme atteints de W32.Salga.A@mm, effacement de clic.
Note : Si votre produit d'antivirus de Symantec signale qu'il ne peut pas supprimer un dossier infecté, Windows peut employer le dossier. Pour fixer ceci, courez le balayage en mode sûr. Pour des instructions, lisez le document, "comment mettre en marche l'ordinateur en mode sûr." Une fois que vous vous êtes remis en marche en mode sûr, courez le balayage encore.
(après que les dossiers soient supprimés, vous pouvez laisser l'ordinateur dans le mode sûr et poursuivre la section 4. Quand cela est fait, remettez en marche l'ordinateur en "copie normale".)
4. Pour supprimer la valeur de l'enregistrement
Important : Symantec recommande vivement que vous soutenez l'enregistrement avant de faire tous les changements à lui. Les changements incorrects à l'enregistrement peuvent avoir comme conséquence la perte permanente de données ou les dossiers corrompus. Modifiez les clefs indiquées seulement. Lisez le document, "comment faire une protection de l'enregistrement de Windows," pour des instructions.
Cliquez Le Début > Couru.
Dactylographiez le regedit
Cliquez Alors BIEN.
Dirigez à la clef :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dans le carreau droit, supprimez les valeurs :
"xp de système" = "%Windir%\acdsee demo.exe"
"fenêtres" = "%Windir%\system\system copy.exe"
Dirigez à la clef :
HKEY_CURRENT_USER\Software\Kazaa\Transfer
Dans le carreau droit, supprimez la valeur :
"StartKazaa - SilentRun" = "%ProgramFiles%\Kazaa\My Ont partagé Folder\Shared"
Dirigez à la clef :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\LanmanServer\Shares
Dans le carreau droit, supprimez la valeur :
"Britny"
Dirigez à la clef :
HKEY_LOCAL_MACHINE\SOFTWARE \NT De Policies\Windows
Dans le carreau droit, supprimez la valeur :
"Restauration De Système" = "1"
Dirigez à et supprimez la clef :
HKEY_LOCAL_MACHINE\SOFTWARE \Policies\Windows NT\SystemRestore
Sortez le rédacteur d'enregistrement.
5. Pour supprimer des chemises créées par la menace :
Dirigez à et supprimez les chemises suivantes :
came de %Windir%\All Users\Desktop\sex
C:\Britny
Crochet de noyau de C:\hard d'enchaînement
D:\hook tous les films de sexe des enchaînements
Alerte de ver d'ordinateur de D:\new
PROGRAMMES DE D:\NEW
Téléphones de sexe d'E:\real