_Padodor-T
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 77920 Octet(s)
Détails techniques:
Lorsqu'il est exécuté, Padodor-T se déplace dans le répertoire System de Windows avec un nom de fichier aléatoire et y dépose un composant .DLL également nommé aléatoirement.
Padodor-T installe une .DLL en tant que plugin pour Internet Explorer.
Padodor-T créait également un fichier texte nommé "keng32mk.dll" et un fichier .bat de nom aléatoire qui supprime le fichier exécutable du cheval de Troie après qu'il se soit copié.
Padodor-T définit les entrées de la base de registre suivantes:
HKCU\AppEvents\Schemes\Apps\Explorer\ActivatingDocument\.Current\
HKCU\AppEvents\Schemes\Apps\Explorer\ActivatingDocument\.Current\@ = ""
HKCU\Software\Microsoft\Internet Explorer\Main\FeatureControl\
HKCU\Software\Microsoft\Internet Explorer\Main\FeatureControl\
FEATURE_LOCALMACHINE_LOCKDOWN\
HKCU\Software\Microsoft\Internet Explorer\Main\FeatureControl\
FEATURE_LOCALMACHINE_LOCKDOWN\iexplore.exe = dword:00000000
HKCR\CLSID\%7CFBACFF-EE01-1231-ABDD-416592E5D639%\
HKCR\CLSID\%7CFBACFF-EE01-1231-ABDD-416592E5D639%\
InProcServer32\
HKLM\SOFTWARE\Classes\CLSID\%7CFBACFF-EE01-1231-ABDD-
416592E5D639%\InProcServer32\@
"name2.dll"
HKCR\CLSID\%7CFBACFF-EE01-1231-ABDD-416592E5D639%\
InProcServer32\ThreadingModel
"Apartment"
HKLM\SOFTWARE\Microsoft\IE4\
MGR
"SOPLETEK-ciliicdg"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellService
ObjectDelayLoad\Web Event Logger
"%7CFBACFF-EE01-1231-ABDD-416592E5D639%"
Padodor-T modifie également les entrées de registre suivantes:
HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\.Current\@
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\
Taille: 77920 Octet(s)
Détails techniques:
Lorsqu'il est exécuté, Padodor-T se déplace dans le répertoire System de Windows avec un nom de fichier aléatoire et y dépose un composant .DLL également nommé aléatoirement.
Padodor-T installe une .DLL en tant que plugin pour Internet Explorer.
Padodor-T créait également un fichier texte nommé "keng32mk.dll" et un fichier .bat de nom aléatoire qui supprime le fichier exécutable du cheval de Troie après qu'il se soit copié.
Padodor-T définit les entrées de la base de registre suivantes:
HKCU\AppEvents\Schemes\Apps\Explorer\ActivatingDocument\.Current\
HKCU\AppEvents\Schemes\Apps\Explorer\ActivatingDocument\.Current\@ = ""
HKCU\Software\Microsoft\Internet Explorer\Main\FeatureControl\
HKCU\Software\Microsoft\Internet Explorer\Main\FeatureControl\
FEATURE_LOCALMACHINE_LOCKDOWN\
HKCU\Software\Microsoft\Internet Explorer\Main\FeatureControl\
FEATURE_LOCALMACHINE_LOCKDOWN\iexplore.exe = dword:00000000
HKCR\CLSID\%7CFBACFF-EE01-1231-ABDD-416592E5D639%\
HKCR\CLSID\%7CFBACFF-EE01-1231-ABDD-416592E5D639%\
InProcServer32\
HKLM\SOFTWARE\Classes\CLSID\%7CFBACFF-EE01-1231-ABDD-
416592E5D639%\InProcServer32\@
"name2.dll"
HKCR\CLSID\%7CFBACFF-EE01-1231-ABDD-416592E5D639%\
InProcServer32\ThreadingModel
"Apartment"
HKLM\SOFTWARE\Microsoft\IE4\
MGR
"SOPLETEK-ciliicdg"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellService
ObjectDelayLoad\Web Event Logger
"%7CFBACFF-EE01-1231-ABDD-416592E5D639%"
Padodor-T modifie également les entrées de registre suivantes:
HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\.Current\@
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
