Type :
Virus de fichier exécutable Win32
Détection :
Un fichier IDE d'identité virale permettant de vous protéger
est désormais disponible depuis la section Identités de
virus, et est intégré à la version Mars 2002 (3.55)
de Sophos Anti-Virus.
Lors de l'écriture de cette analyse, Sophos n'a pas reçu
de signalement d'utilisateur infecté par ce virus. Cependant,
nous avons publié cette alerte en réponse à des
questions posées à notre support technique.
Description :
W32/ElKern-B est un virus de fichier exécutable qui fonctionne
sous Windows 98, Windows Me, Windows 2000 et Windows XP. Il est capable
d'infecter les cavités de fichier, ainsi les fichiers infectés
ne changent pas de taille.
Sous Windows 98 et Windows
Me, W32/ElKern-B se copie dans le répertoire système de
Windows comme fichier caché Wqk.exe, et configure dans la base
de registre la clé HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WQK
pour pointer vers ce fichier afin que le virus soit exécuté
à chaque fois que l'ordinateur est redémarré.
Sous Windows 2000 et Windows
XP, W32/ElKern-B se copie dans le répertoire système de
Windows comme fichier caché Wqk.dll, et configure dans la base
de registre la clé HKLM\Software\Microsoft\WINDOWS NT\CurrentVersion\
Windows\AppInit_DLLs pour pointer vers ce fichier afin que le virus
soit exécuté à chaque fois que l'ordinateur est
redémarré.
Ce virus est transporté
et placé par certains membre de la famille W32/Klez.