Un virus se fait passer pour le WGA de Microsoft

Le par  |  5 commentaire(s)
WGA

Microsoft vient à peine d'accepter de reconsidérer sa politique de vérification quotidienne de la validité de votre copie de Windows XP qu'apparaît une menace virale qui prend justement la forme de son outil de surveillance, Windows Genuine Advantage.

Microsoft vient à peine d'accepter de reconsidérer sa politique de vérification quotidienne de la validité de votre copie de Windows XP qu'apparaît une menace virale qui prend justement la forme de son outil de surveillance, Windows Genuine Advantage.


L'arroseur arrosé...'
WgaSelon plusieurs analystes spécialisés dans la sécurité informatique, un ver d'un genre nouveau vient de faire son apparition sur le "marché" de la menace virale. Sophos l'a par exemple dénommé "W32.Cuebot-k", ce qui le place en filiation directe avec d'autres vers de la famille Cuebot. Il semble se propager via le réseau de messagerie instantanée AIM d'AOL. Le plus souvent, lors de la réception d'un message qui semble émaner d'un de vos contacts, un hyper-lien se matérialise, vous enjoignant de le cliquer. Un programme exécutable "wgavn.exe" est alors téléchargé sur votre PC, et si vous avez le malheur de l'installer--ce que le nom du fichier peut vous encourager à faire--, vous serez immédiatement infecté. Un processus "wganv.exe" apparaîtra dans votre gestionnaire de tâches, et un examen de la liste des pilotes installés sur votre machine le listera comme "Windows Genuine Advantage Validation Notification", mais à ce stade-là, le mal sera déjà fait : "Cuebot-K" s'attaquera à vos logiciels de protection, fermera le pare-feu de Windows, fera de nombreux emprunts à vos fichiers personnels, et provoquera des dénis-de-service généralisés.


"Signez le registre, s'il-vous-plaît..."
Un bon moyen de savoir si votre PC est touché est de se rendre dans la Base de Registre de Windows (pour mémoire : cliquez sur "Démarrer", puis sur "Exécuter", entrer "regedit" dans la ligne de commande, sans les guillemets, puis validez), et de chercher une entrée du registre répondant au doux nom de "HKLM/SYSTEM/CurrentControlSet/Services/wgavn"*. Si elle est présente, vous pourrez vous dire, "Oups..." et espérer que votre anti-virus est à jour...


* J'ai dû remplacer les anti-slashes par des slashes, car notre interface ne reconnaît pas les premiers cités. Désolé...





Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #116865
"HKLMSYSTEMCurrentControlSetServiceswgavn"

=>Vous avez oublié les anti-slash... ou plutôt disons que ça ne passe pas dans la table sql
Le #116873
Exact... et anormal ! je vais en référer à qui de droit, d'autant que lorsqu'on pré-visualise la news, après composition, ce genre de souci n'apparaît pas...
Le #116897
Mets des doubles anti-slash '\'
Ca devrait fonctionner ;-)
Le #116921
<img src="/img/emo/confused.gif" alt=":'" />
Le #116929
remplace tes slashs par &#92;
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]