Troj_StartPa-EM

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Afin de s'exécuter automatiquement lorsqu'un utilisateur ouvre une session, le cheval de Troie se copie en tant que %SYSTEM%\inetsrv.exe et %SYSTEM%\ielogon.exe, et créait deux entrées dans la base de registre du système :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Internet Server
%SYSTEM%\inetsrv.exe


HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe %SYSTEM%\inetsrv.exe


StartPa-EM change également la page de démarrage d'Internet Explorer en créant une entrée dans la base de registre :

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page

Il change également l'entrée suivante de la base de registre :

HKCR\txtfile\shell\open\command
@
C:\WINDOWS\NOTEPAD.EXE %1


en

HKCR\txtfile\shell\open\command
@
%SYSTEM%\ielogon.exe "%1"





http://www.securiteinfo.com/