Troj_OutsBot-C
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 18976 Octet(s)
Détails techniques:
Méthode d'infection
Lorsqu'il est exécuté, OutsBot-C se copie en tant que %System%\dllcachev2.exe et ajoute les entrées suivantes dans la base de registre afin d'être exécuté au démarrage d'une session utilisateur :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DllCacherv2 = "%System%\dllcachev2.exe"
Note: '%System%' est une variable locale. Agobot détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.
OutsBot-C utilise le mutex "iloveyousanta" pour éviter d'être exécuté plusieurs fois sur la même machine.
Le cheval de Troie utilise l'icône de Quicktime comme subterfuge.
Fonctionnalité de la porte dérobée
OutsBot essaye de se connecter à un salon de discussion IRC sur le serveur s4.hanged.tk via port TCP 6667.
Lorsque l'ordinateur de la victime est sous contrôle, le pirate peut envoyer des instructions au ver pour effectuer des opérations malveillantes.
La porte dérobée permet d'exécuter les actions suivantes:
1. Exécuter ou supprimer des fichiers
2. Déconnecter du salon IRC
3. Se supprimer lui même d'une machine infecté
4. Se mettre à jour lui même
5. Récupérer des informations sur la machine (par exemple: vitesse du CPU, RAM, version du système d'exploitation, nom d'utilisateur, adresse IP)
6. Télécharger des fichiers d'Internet
7. Se redémarrer tout seul
8. Lancer une attaque de déni de service de type SYN Flood sur une adresse distante
OutsBot-C ouvre également un proxy SOCKS sur le port TCP 9999.
Taille: 18976 Octet(s)
Détails techniques:
Méthode d'infection
Lorsqu'il est exécuté, OutsBot-C se copie en tant que %System%\dllcachev2.exe et ajoute les entrées suivantes dans la base de registre afin d'être exécuté au démarrage d'une session utilisateur :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DllCacherv2 = "%System%\dllcachev2.exe"
Note: '%System%' est une variable locale. Agobot détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.
OutsBot-C utilise le mutex "iloveyousanta" pour éviter d'être exécuté plusieurs fois sur la même machine.
Le cheval de Troie utilise l'icône de Quicktime comme subterfuge.
Fonctionnalité de la porte dérobée
OutsBot essaye de se connecter à un salon de discussion IRC sur le serveur s4.hanged.tk via port TCP 6667.
Lorsque l'ordinateur de la victime est sous contrôle, le pirate peut envoyer des instructions au ver pour effectuer des opérations malveillantes.
La porte dérobée permet d'exécuter les actions suivantes:
1. Exécuter ou supprimer des fichiers
2. Déconnecter du salon IRC
3. Se supprimer lui même d'une machine infecté
4. Se mettre à jour lui même
5. Récupérer des informations sur la machine (par exemple: vitesse du CPU, RAM, version du système d'exploitation, nom d'utilisateur, adresse IP)
6. Télécharger des fichiers d'Internet
7. Se redémarrer tout seul
8. Lancer une attaque de déni de service de type SYN Flood sur une adresse distante
OutsBot-C ouvre également un proxy SOCKS sur le port TCP 9999.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
