Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Afin de s'exécuter automatiquement lorsqu'un utilisateur ouvre une session, le cheval de Troie se copie en tant que %SYSTEM%\inetsrv.exe et %SYSTEM%\ielogon.exe, et créait deux entrées dans la base de registre du système :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Internet Server
%SYSTEM%\inetsrv.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe %SYSTEM%\inetsrv.exe
StartPa-EM change également la page de démarrage d'Internet Explorer en créant une entrée dans la base de registre :
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
Il change également l'entrée suivante de la base de registre :
HKCR\txtfile\shell\open\command
@
C:\WINDOWS\NOTEPAD.EXE %1
en
HKCR\txtfile\shell\open\command
@
%SYSTEM%\ielogon.exe "%1"