Les fichiers Excel sont allergiques au ver Dutan
Le ver Dutan.A cherche principalement à détruire les fichiers créés avec le tableur Excel.
Le ver Dutan.A est le plus souvent transmis à des ordinateurs sélectionnés via des lecteurs réseau ou des périphériques de stockage amovibles. Il crée ensuite des fichiers et modifie la base de données d'inscription. Le ver copie deux fichiers sur chaque réseau et lecteur amovible disponible. Ceux-ci sont communiqués par l'un contenant le malware, tandis que l'autre garantit que le ver peut être chargé automatiquement lorsque les périphériques de stockage sont reconnectés.
Dutan.A analyse tous les fichiers .xls disponibles sur les PC infectés et leur ajoute une chaîne de 2 Ko générée aléatoirement. Cela peut rendre les fichiers Excel inutilisables.
Lorsque le ver Dutan.A démarre, il effectue les actions suivantes :
- Créez les fichiers suivants :
% System% \ winxpsp2.dll
% System% \ csrsss.exe
% System% \ svchosts.exe - Copiez les deux fichiers suivants dans le répertoire racine de chaque réseau et lecteur amovible :
svchosts.exe
autorun.inf - Les entrées suivantes sont ajoutées à la base de données d'enregistrement :
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \
« Microsoft OfficeTool » = « svchosts.exe »
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer
\MountPoints2\{56999cec-3c1d-11db-a335-806d6172696f}”BaseClass”
= "Conduire"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer
\MountPoints2\{6dd31b68-fe5a-11db-9fd3-806d6172696f}”BaseClass”
= "Conduire"
4. Recherchez des fichiers avec une extension .xls auxquels vous ajoutez une chaîne de 2 Ko assemblée de manière aléatoire.
