Virus
Randex
Randex est une famille de virus qui se propagent via les dossiers partagés dont l'accès est protégé par un mot de passe insuffisamment fort. Si une machine connectée à Internet est vulnérable, Randex l'infecte puis scanne le réseau à la recherche de nouvelles machines vulnérables pour les infecter. Le virus installe par ailleurs une porte dérobée qui autorise la prise de contrôle à distance de l'ordinateur contaminé par une personne malveillante et qui se connecte à un canal IRC prédéterminé en attente des ordres à exécuter.
PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs doivent également
supprimer les partages de ressources inutiles et protéger les autres par mot de passe afin de prévenir toute propagation du virus.
DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement
l'utilitaire de désinfection Stinger pour rechercher et éliminer le virus.
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
ALIAS :
Randex (F-Secure)
Worm.Win32.Sluter (Kaspersky)
W32/Slanper.worm (McAfee)
W32/Randbot.worm (McAfee)
W32/Sdbot.worm.gen (McAfee)
W32/Randex (Sophos)
W32.Randex (Symantec)
W32.Randex.gen (Symantec)
WORM_SLUTER (Trend Micro)
WORM_SLUTER.GEN (Trend Micro)
WORM_RANDEX.GEN (Trend Micro)
W32/Sluter.worm.gen
Backdoor.SdBot.gen
Gesfm
Piebot
TAILLE :
variable
DECOUVERTE :
09/06/2003
DESCRIPTION DETAILLEE :
Randex est une famille de virus ciblant les ordinateurs dont l'accès est protégé par un mot de passe insuffisamment fort. Randex tente de se connecter aux machines connectées à Internet en essayant une liste de mots de passe prédéterminés ("admin", "root", "1", "111", "123", "1234", "123456", "654321", etc.) : s'il réussit, le virus infecte l'ordinateur en se copiant dans le répertoire System de Windows, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis scanne le réseau à la recherche de nouvelles machines vulnérables pour les infecter.
Le virus installe une porte dérobée qui autorise la prise de contrôle à distance et l'utilisation par une personne malveillante de l'ordinateur contaminé (téléchargement et exécution de programmes à l'insu de l'utilisateur, etc.) et qui se connecte immédiatement à un canal IRC (Internet Relay Chat) prédéterminé en attente de commandes à exécuter. Selon la variante, il est également capable de récupérer la clé de licence de certains logiciels installés sur l'ordinateur infectés ou de lancer des attaques DoS.