Win32/Renocide est une famille de vers qui se propagent via les disques amovibles, les stockages locaux et les réseaux en utilisant les applications de partage de fichiers.
Une fois installé, le malware crée des clones de lui-même en utilisant des noms de fichiers différents. Il est qualifié de ver « backdoor » (portes dérobées) et permet à un pirate distant d’exécuter des commandes sur le poste infecté pour télécharger d’autres programmes malveillants. Renocide tente également après son installation de surveiller et de trouver des informations complémentaires sur l’adresse IP de la machine infectée en utilisant whatismyip.com.
Win32/Renocide avait été découvert le 8 mars dernier grâce à une mise à jour de MSRT (Microsoft Security Removal Tool), l’outil de suppression de logiciels malveillants de Windows. Le programme malveillant avait commencé à circuler en 2008 et c’est progressivement propagé au fil du temps. Actuellement selon le programme MRST c’est la quatrième plus menace détectée la plus importante, au regard de ses méthodes de propagation multiples, du nombre de machines et des fichiers infectés.
Selon Microsoft, deux autres vers occupent la première et seconde place. Le premier, Rimecud tout comme Renocide est un ver « backdoor-enabled ». Le second, Taterf est un voleur de numéro de compte.
La mise à jour de MSRT permet, en plus de détecter Win32/Renocide, de nettoyer les machines concernées.
Microsoft Security Removal Tool est disponible sur cette pageSource
Envoyé par ALT
