Surnommé Ramex.a par un porte-parole de Skype, et Pykspa.d par les ingénieurs de Symantec, le ver qui fait l’objet d’une alerte par Skype, utilise une méthode d’attaques connue.
Après avoir dérobé la liste des contacts de l’utilisateur infecté, ce ver diffuse des messages instantanés qui contiennent un lien Internet.
Les contacts qui cliquent sur le lien, qui se présente comme une image JPG, sont immédiatement infectés.
L’éditeur explique comment se débarrasser de ce ver particulièrement gênant, mais la manipulation est complexe, puisqu’il faut apporter des modifications dans le registre de Windows.
Les utilisateurs experts – et seulement les utilisateurs experts – qui savent ce qu’ils font peuvent enlever le ver manuellement.
- 1. Restart the PC in safe mode
- 2. Run regedit
- 3. Go to HKLM/software/microsoft/windows/currentversion/runonce find entry with mshtmldat32.exe. Delete this entry.
- 4. Go to Windows\System32 directory and delete following files: wndrivs32.exe, mshtmldat32.exe, winlgcvers.exe, sdrivew32.exe
- 5. Go to windows/system32/drivers/etc
- 6. Find file hosts
- 7. Open it with notepad, ctrl+a and delete all entries (this will resume your antivirus updates), save, close.
- 8. Restart the PC.
Ramex.a/Pykspa.d injecte du code dans Explorer.exe pour forcer l’activation du code malveillant, un fichier nommé wndrivsd32.exe.
Fanch