Troj_Reign-AK

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

L'exécution de Reign-AK provoque la création du répertoire :

%System%\zztp

Il se copie ensuite dans ce répertoire et s'exécute sous le nom "svchost.exe". L'exécutable d'origine est alors supprimé.

N.B. : Le répertoire '%System%' est un emplacement variable. Le trojan détermine le chemin du dossier System en fonction du système d'exploitation. Par défaut, dans Windows 2000 et NT, il se trouve ici : C:\Winnt\System32 ; pour Windows 95, 98 et ME, c'est C:\Windows\System et pour Windows XP : C:\Windows\System32

Pour que le trojan se lance à chaque démarrage de Windows, une entrée de la base de registre, est modifiée :

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zztp = "%System%\zztp\svchost.exe"

Le trojan laisse aussi les fichiers DLL suivants, dans le dossier %System% :

_kwui.dll
_kwuiex.dll


N.B. : _kwuiex.dll sert à cacher n'importe quel fichiers ou clés de registre contenant la chaîne de caractères "zztp". De là, les utilisateurs infectés ne pourront pas voir les fichiers créés par "Reign" en utilisant Internet Explorer. Reign-AK cache également son propre process sur la machine infectée.

Reign-AK crée aussi le mutex "zztpA19B-1011-91CA-C755B9DBBaA9" pour qu'il n'y ait qu'une copie du trojan qui fonctionne en même temps.




NEWSNOW