Click on screenshot to zoom
Niveau de danger 7
Type: Worms (ver)
Symptômes communs d'infection:
  • Auto-installation sans la permission de l’utilisateur
  • Se connecte à l'Internet sans permission
  • Blocage de programmes système légitimes
  • Ralentissement de la connexion Internet
  • Blocage ou panne du système
  • Ralentissement des performances de l’ordinateur
Autres mutations connues:
Worm.Dorkbot.A

Worm.Dorkbot

Worm.Dorkbot est un ver malveillant qui se propage par le biais de services de messagerie instantanée tels que Windows Live et Yahoo! Messenger, ainsi que de lecteurs amovibles. Il comporte également une fonction de porte dérobée (backdoor) qui accorde à des attaquants distants un accès complet au PC infecté. Worm.Dorkbot agit également sous d’autres noms, parmi lesquels :

Trojan.Win32.Scar.drih

Ce ver a fait sa première apparition le 9 mars 2011 et depuis, il a infecté des milliers de PC à travers le monde. Ce qui le rend plus dangereux encore, c’est qu’il ne présente aucun symptôme évident. Les seuls signes de sa présence sur un PC viendront des éventuels logiciels de sécurité installés. Il est donc d’autant plus difficile à détecter et à supprimer du système.

Une fois que Worm.Dorkbot s’est introduit dans un ordinateur, il s’exécute et se copie dans le répertoire %AppData% sous un nom de fichier de 6 lettres généré au hasard, par exemple ozkqke.exe. Il modifie l’entrée qui suit afin que ce fichier s’exécute à chaque démarrage de Windows :

Dans la sous-clé : HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Il définit la valeur : ""
Avec les données : "%appdata%.exe"

Lorsqu’il s’exécute, Worm.Dorkbot injecte son code dans explorer.exe, ainsi que dans de nombreux autres processus en cours d’exécution sur le PC infecté. Le nombre de processus que Worm.Dorkbot est capable d’injecter varie selon qu’il s’exécute avec des privilèges d’administrateur ou non.

Worm.Dorkbot se connecte à certains serveurs IRC et rejoint des canaux en attendant les ordres de ses développeurs. Voici la liste des serveurs auxquels on sait que Worm.Dorkbot se connecte à l’insu de l’utilisateur :

shuwhyyu.com
lovealiy.com
yegyege.com

Les développeurs à l’origine de Worm.Dorkbot peuvent ordonner à ce ver d’obtenir l’adresse IP et l’emplacement du PC infecté en se connectant à api.wipmania.com. Ensuite, il répertorie le type de système d’exploitation du PC, le niveau de privilège de l’utilisateur actuel et la langue locale.

Le ver reçoit également l’ordre d’empêcher l’utilisateur de consulter ou de modifier ses fichiers. Pour ce faire, il modifie les fonctions suivantes dans lesquelles il s’injecte :

NtQueryDirectoryFile
NtEnumerateValueKey
CopyFileA/W
DeleteFileA/W

En outre, ce ver bloque l’accès aux sites Web suivants spécialisés dans la sécurité :

avast.
avg.
avira.
bitdefender.
bullguard.
clamav.
comodo.
emsisoft.
eset.
fortinet.
f-secure.
garyshood.
gdatasoftware.
heck.tc
iseclab.
jotti.
kaspersky.
lavasoft.
malwarebytes.
mcafee.
necare.live.
norman.
norton.
novirusthanks
onlinemalwarescanner.
pandasecurity.
precisesecurity.
sophos.
sunbeltsoftware.
symantec

Pour vous débarrasser de cette menace malveillante et limiter les dégâts qu’elle peut occasionner à votre PC, détruisez Worm.Dorkbot à l’aide d’un utilitaire de sécurité puissant, qui de plus protégera efficacement votre PC contre les attaques du même genre à l’avenir.

Télécharger le scanner d’infection Worm.Dorkbot
  • Solution rapide et testée pour l‘enlèvement des menaces Worm.Dorkbot .
  • Sauvez votre ordinateur et lancez-le maintenant!
disclaimer

Comment enlever Worm.Dorkbot vous-même

Les fichiers associés à la contamination (Worm.Dorkbot):

fxUserServ.dll
_ex-68.exe
vkAHVCUBeFA.exe
FAE8.exe
mdm.exe
wins.exe
VideoPlayerSetup.exe
USB3Nw32.dll
svchost.exe
showmyhey.exe
OghDDYNXd.exe
lWyWpByYuAxScAkJuTlKxHbLuAcJlCsJpJoXiYlFgHnPaAaQgVqNkXuUyPhLsWlCoNmKbWcB.exe
JFhHPRcFiCtyNEO.exe
Framework.exe
B8DEA5BBB4F.exe
web2net.exe
Uaisim.exe
512E.exe
Xntkth.exe
Txnsnl.cmd
Okpkpy.exe
Mhwgws.exe
Inbubc.exe
17.exe
Yvhyhw.exe
ojber.exe
Obisig.cmd
4C24.exe
xci32.exe
Wbnmni.exe
Wtqoqk.exe
279952476132251.exe
sqlesw32.dll
ntusbw32.dll
Vdwiwd.exe
nvidia.exe
Ehueui.exe
Ajnene.exe
x.exe
Vlzqzl.exe
Invmvu.exe
Hnfsfz.exe
Gywwwc.exe
Golglm.exe
Gdaoau.exe
E49.exe
6to4ex.dll
ecleaner.exe
Uvxsxm.exe
Pulold.exe
ogcv98.dll
winlog.exe
servidor.exe
nmtd.exe
n4ix2zw.exe
msado320.tlb
bootcfgx.exe
adsldp32.exe
mswdat1032.exe
lsass.exe
dtca.exe
7wondersres.dll
Leugur.exe

Utilisation de bibliothèques de lien dynamique (Worm.Dorkbot):

fxUserServ.dll
USB3Nw32.dll
sqlesw32.dll
ntusbw32.dll
6to4ex.dll
ogcv98.dll
7wondersres.dll

Les processus pour tuer (Worm.Dorkbot):

_ex-68.exe
vkAHVCUBeFA.exe
FAE8.exe
mdm.exe
wins.exe
VideoPlayerSetup.exe
svchost.exe
showmyhey.exe
OghDDYNXd.exe
lWyWpByYuAxScAkJuTlKxHbLuAcJlCsJpJoXiYlFgHnPaAaQgVqNkXuUyPhLsWlCoNmKbWcB.exe
JFhHPRcFiCtyNEO.exe
Framework.exe
B8DEA5BBB4F.exe
web2net.exe
Uaisim.exe
512E.exe
Xntkth.exe
Okpkpy.exe
Mhwgws.exe
Inbubc.exe
17.exe
Yvhyhw.exe
ojber.exe
4C24.exe
xci32.exe
Wbnmni.exe
Wtqoqk.exe
279952476132251.exe
Vdwiwd.exe
nvidia.exe
Ehueui.exe
Ajnene.exe
x.exe
Vlzqzl.exe
Invmvu.exe
Hnfsfz.exe
Gywwwc.exe
Golglm.exe
Gdaoau.exe
E49.exe
ecleaner.exe
Uvxsxm.exe
Pulold.exe
winlog.exe
servidor.exe
nmtd.exe
n4ix2zw.exe
bootcfgx.exe
adsldp32.exe
mswdat1032.exe
lsass.exe
dtca.exe
Leugur.exe
Disclaimer

Postez votre commentaire — NOUS AVONS BESOIN DE VOTRE OPINION!

Commentez:
Nom:
Inscrivec votre code secret s.v.p.:
This is a captcha-picture. It is used to prevent mass-access by robots.