Virus | Spyware
Sdbot.AF
À l'aide de ces sites Web, vous pouvez écarter le virus Sdbot.AF:
écarter Sdbot.AF virus
backdoor.sdbot.afBackdoor.Sdbot.AF est un programme secret de Trojan Horse que les diffusions par l'intermédiaire du réseau partage et permet à un attaquant à distance de gagner l'accès non autorisé au système compromis.Variantes: Backdoor.Sdbot.AE
Quand Backdoor.Sdbot.AF est exécuté, il effectue les actions suivantes :
Copies elle-même comme %system%\windrive.exe.
Note : %System% est une variable qui se rapporte à la chemise de système. Par défaut c'est C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), ou C:\Windows\System32 (Windows.xp).
Ajoute la valeur :
"Micrsoft Driver"="windrive.exe"
aux clefs suivantes d'enregistrement :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
de sorte que le ver soit exécuté chaque fois Windows commence.
Ouvre un secret sur l'ordinateur infecté en se reliant à un serveur d'IRC au port 6667 de TCP sur un ou plusieurs des centres serveurs suivants :
sizz.afraid.org
Écoute des commandes d'un attaquant à distance d'effectuer certaines des actions suivantes :
Exécutez un démenti d'attaque du service (DOS) contre un centre serveur de cible
Recherchez l'information de système
Reliez à un URL
Téléchargez et téléchargez les dossiers
Exécutez les programmes
Conduisez les balayages gauches contre d'autres ordinateurs
Mettez en marche un serveur de HTTP
Mettez en marche un ftp server
Diffusions aux parts suivantes de réseau :
\winnt\system32
\windows\system32
Admin$\system32
IP
sur des adresses aléatoirement produites d'IP, en utilisant les noms d'utilisateur obtenus par le NetUserEnum api, et la liste suivante de mots de passe :
! @ # $
!@$%
!@$%^
!@$%^&
!@$%^&*
000
0000
00000
000000
00000000
007
0wn3d
0wned
110
111
111111
11111111
121
121212
123
123123
1234
12345
123456
1234567
12345678
123456789
12346
123467
1234678
12346789
123467890
1234qwer
123abc
123asd
123qwe
2002
2003
2600
54321
654321
D.C.A.
ABC
abc123
abcd
accès
ACCÈS
compte
comptabilité
comptes
adm
Admin
admin
Admin
admin123
Administrador
Administrateur
Administrateur
ADMINISTRATEUR
administrateur
Afro
asd
protection
Barbara
facture
blanc
brian
bruce
capitol
changeme
Cisco
Cisco
Cisco
compaq
commande
ctx
données
base de données
databasepass
databasepassword
db1
db1234
dbpass
dbpassword
défaut
vallon
domaine
domainpass
domainpassword
échange
exchnge
poissons
contreseing
fred
freddy
baise
george
gorge
un dieu
invité
Invité
INVITÉ
headoffice
ciel
enfer
à la maison
homeuser
ian
Internet
Intranet
joan
Joe
John
kate
katie
LAN
lie
ouverture
loginpass
Luc
courrier
principal
Mary
la masse
microphone
neil
nokia
aucun
nulle
OEM
oeminstall
oemuser
bureau
orange
perspectives
owa
passage
pass123
pass1234
passphra
passwd
MOT DE PASSE
Mot de passe
mot de passe
password1
password123
peter
rose
qaz
qwe
QWERTY
ron
Racine
RACINE
racine
sauge
SAM
serveur
sexe
Siemens
spencer
SQL
sqlpass
personnel
étudiant
student1
poursuivez
susan
système
professeur
technique
essai
navet
inconnu
Inconnu
utilisateur
UTILISATEUR
Utilisateur
user1
usermane
username
userpassword
enchaînement
victoire
win2000
win2k
win98
windose
fenêtres
windows2k
windows95
windows98
windowsME
WindowsXP
windowz
windoze
windoze2k
windoze95
windoze98
windozeME
windozexp
vin
aile
winnt
winpass
winston
winxp
de câble
WWW
xxx
xxxx
xxxxx
xxxxxx
xxxxxxx
xxxxxxxx
xxxxxxxxx
jaune
Vole des clefs de CD pour les jeux suivants :
Nuits de Neverwinter (hordes de l'Underdark)
Nuits de Neverwinter (ombres d'Undrentide)
Nuits De Neverwinter
Soldat de la fortune II - double spirale
Software\Activision\Soldier de la fortune II - double spirale
2 Cachés Et Dangereux
Chrome
NOX
Commandez et conquérez : Alerte Rouge 2
Commandez et conquérez : Alerte Rouge
Commandez et conquérez : Le Soleil De Tiberian
Arc-en-ciel Six III RavenShield
Nascar Emballant 2003
Nascar Emballant 2002
NHL 2003
NHL 2002
FIFA 2003
FIFA 2002
Shogoun : Guerre Totale : Édition de seigneur de la guerre
Besoin De Vitesse : Souterrain
Besoin De Poursuite Chaude 2 De Vitesse
Médaille d'honneur : Assaut Allié : Fer de lance
Médaille d'honneur : Assaut Allié : Percée
Médaille d'honneur : Assaut Allié
Opérations Globales
Commandez et conquérez : Généraux
Obligation 007 de James : Nightfire
Commandez et conquérez : Généraux (Heure Zéro)
Noir et blanc
Champ de bataille Vietnam
Champ de bataille 1942 (armes secrètes de WWII)
Champ de bataille 1942 (Route Vers Rome)
Champ de bataille 1942
Force De Liberté
IGI 2 : Grève Secrète
Tournoi Irréel 2004
Tournoi Irréel 2003
Soldats D'Anarchie
Légendes de force et de magie
Géant 2 D'Industrie
Demi vie
Chroniques De Bandit armé
Les Gladiateurs
Compteur-Frappez
La réponse de sécurité de Symantec encourage tous les utilisateurs et administrateurs à adhérer à la sécurité de base suivante les "meilleures pratiques" :
Arrêtez et enlevez les services inutiles. Par défaut, beaucoup de logiciels d'exploitation installent des services auxiliaires qui ne sont pas critiques, comme un ftp server, telnet, et un serveur de Web. Ces services sont des avenues d'attaque. S'ils sont enlevés, les menaces mélangées ont moins d'avenues d'attaque et vous avez peu de services à maintenir par des mises à jour de pièce rapportée.
Si une menace mélangée exploite un ou plusieurs services de réseau, neutralisez, ou bloquez l'accès à, services jusqu'à ce qu'une pièce rapportée soit appliquée.
Maintenez toujours vos niveaux de pièce rapportée à jour, particulièrement sur les ordinateurs qui accueillent des services publics et sont accessibles par le mur à l'épreuve du feu, tel que le HTTP, le ftp, le courrier, et les services de DNS (par exemple, tous les ordinateurs windows-based devraient avoir le paquet courant de service installé). En plus, appliquez svp toutes les mises à jour de sécurité qui sont mentionnées dans cette description, dans les bulletins de confiance de sécurité, ou sur des emplacements de Web de fournisseur.
Imposez une politique de mot de passe. Les mots de passe complexes le rendent difficile de fendre des dossiers de mot de passe sur les ordinateurs compromis. Ceci aide à empêcher ou limiter des dommages quand un ordinateur est compromis.
Configurez votre serveur d'email pour bloquer ou enlever l'email qui contient les attachements de dossier qui sont généralement utilisés pour écarter des virus, tels que des dossiers de vbs, de bat, d'exe, de pif et de scr.
Isolez les ordinateurs infectés rapidement pour empêcher compromettre plus loin votre organisation. Exécutez une analyse légale et reconstituez les ordinateurs en utilisant des médias de confiance.
Formez les employés pour ne pas ouvrir des attachements à moins qu'ils les attendent. En outre, n'exécutez pas le logiciel qui est téléchargé de l'Internet à moins qu'il ait été balayé pour des virus. Visiter simplement un emplacement compromis de Web peut causer l'infection si certaines vulnérabilités de navigateur ne sont pas raccordées.
Les instructions suivantes concernent tous les produits courants et récents d'antivirus de Symantec, des produits y compris de Symantec AntiVirus et de Norton AntiVirus.
Neutralisez La Restauration De Système (Windows Me/XP).
Mettez à jour les définitions de virus.
Courez un plein balayage de système et supprimez tous les dossiers détectés comme Backdoor.Sdbot.AF.
Supprimez la valeur qui a été ajoutée à l'enregistrement.
Pour les détails spécifiques sur chacune de ces étapes, lisez les instructions suivantes.
1. Pour neutraliser la restauration de système (Windows Me/XP)
Si vous courez Windows moi ou Windows.xp, nous recommandons que vous arrêtez temporairement la restauration de système. Windows Me/XP emploie ce dispositif, qui est permis par défaut, pour reconstituer les dossiers sur votre ordinateur au cas où ils deviendraient endommagés. Si un virus, un ver, ou un Trojan infecte un ordinateur, la restauration de système peut soutenir le virus, le ver, ou le Trojan sur l'ordinateur.
Windows empêche des programmes extérieurs, y compris des programmes d'antivirus, de la restauration de modification de système. Par conséquent, les programmes d'antivirus ou les outils ne peuvent pas enlever des menaces dans la chemise de restauration de système. En conséquence, la restauration de système a le potentiel de reconstituer un dossier infecté sur votre ordinateur, même après que vous avez essuyé les dossiers infectés tous les autres endroits.
En outre, un balayage de virus peut détecter une menace dans la chemise de restauration de système quoique vous ayez enlevé la menace.
Pour des instructions sur la façon dont arrêter la restauration de système, lisez votre documentation de Windows, ou un des articles suivants :
"comment neutraliser ou permettre Windows je restauration de système"
"comment arrêter ou allumer la restauration de système de Windows.xp"
Note : Quand vous êtes complètement fini avec la méthode de dépose et êtes satisfait que la menace a été enlevée, permettez à nouveau à la restauration de système par après les instructions dans les documents mentionnés ci-dessus.
Pour l'information additionnelle, et une alternative à neutraliser Windows je restauration de système, voit l'article de base de connaissance de Microsoft, des "outils d'Antivirus ne peut pas nettoyer les dossiers infectés dans _ la chemise de restauration," identification d'article : Q263455.
2. Pour mettre à jour les définitions de virus
La réponse de sécurité de Symantec examine entièrement toutes les définitions de virus pour la garantie de la qualité avant qu'elles soient signalées à nos serveurs. Il y a deux manières d'obtenir les définitions de virus les plus récentes :
LiveUpdate fonctionnant, qui est la manière la plus facile d'obtenir des définitions de virus : Ces définitions de virus sont signalées aux serveurs de LiveUpdate une fois que chaque semaine (habituellement le mercredi), à moins qu'il y ait une manifestation importante de virus. Pour déterminer si les définitions pour cette menace sont disponibles par LiveUpdate, référez-vous aux définitions de virus (LiveUpdate).
Téléchargement des définitions en utilisant l'Updater intelligent : Les définitions intelligentes de virus d'Updater sont signalées quotidiennement. Vous devriez télécharger les définitions de l'emplacement de Web de réponse de sécurité de Symantec et manuellement les installer. Pour déterminer si les définitions pour cette menace sont disponibles par l'Updater intelligent, référez-vous aux définitions de virus (Updater intelligent).
Les définitions intelligentes de virus d'Updater sont disponibles : Lu "comment mettre à jour la définition de virus classe en utilisant l'Updater intelligent" pour des instructions détaillées.
3. Pour balayer pour et supprimer les dossiers infectés
Commencez votre programme d'antivirus de Symantec et assurez-vous qu'il est configuré pour balayer tous les dossiers.
Pour des produits de consommation de Norton AntiVirus : Lisez le document, "comment configurer Norton AntiVirus pour balayer tous les dossiers."
Pour des produits d'entreprise de Symantec AntiVirus : Lisez le document, "comment vérifier qu'un produit de corporation d'antivirus de Symantec est placé pour balayer tous les dossiers."
Courez un plein balayage de système.
Si des dossiers sont détectés comme atteints de Backdoor.Sdbot.AF, effacement de clic.
Note : Si votre produit d'antivirus de Symantec signale qu'il ne peut pas supprimer un dossier infecté, Windows peut employer le dossier. Pour fixer ceci, courez le balayage en mode sûr. Pour des instructions, lisez le document, "comment mettre en marche l'ordinateur en mode sûr." Une fois que vous vous êtes remis en marche en mode sûr, courez le balayage encore.
(après que les dossiers soient supprimés, vous pouvez laisser l'ordinateur dans le mode sûr et poursuivre la section 4. Quand cela est fait, remettez en marche l'ordinateur en "copie normale".)
4. Pour supprimer la valeur de l'enregistrement
Important : Symantec recommande vivement que vous soutenez l'enregistrement avant de faire tous les changements à lui. Les changements incorrects à l'enregistrement peuvent avoir comme conséquence la perte permanente de données ou les dossiers corrompus. Modifiez les clefs indiquées seulement. Lisez le document, "comment faire une protection de l'enregistrement de Windows," pour des instructions.
Cliquez Le Début > Couru.
Dactylographiez le regedit
Cliquez Alors BIEN.
Dirigez à la clef :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Dans le carreau droit, supprimez la valeur :
"Micrsoft Driver"="windrive.exe"
Sortez le rédacteur d'enregistrement.