Troj_BeavButt-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 8200 Octet(s)

Détails techniques:

A l'exécution de BeavButt-A, le cheval de troie se copie dans %System%\soft.exe.

Pour se lancer à chaque démarrage de Windows, il modifie les entrées de registre suivantes :

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\run\Web Service = "%System%\soft.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run\Web Service =" %System%\soft.exe"
HKCU\Software\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}\StubPath = "%System%\soft.exe"
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run = "%System%\soft.exe"


N.B. : BeavButt-A détermine l'emplacement du répertoire "%System%" en tenant compte de la version du Windows utilsée. Par défaut, sous Windows 2000 et NT, c'est C:\Winnt\System32 ; sous Windows 95/98/Me, c'est C:\Windows\System et sous XP : C:\Windows\System32.

BeavButt-A termine le process explorer.exe, le modifie, et le relance. Le cheval de troie écrase ensuite les copies suivantes de explorer.exe (si elles existent) :

%Windows%\ServicePackFiles\i386\explorer.exe
%System%\dllcache\explorer.exe


Il change la valeurs de registre suivante, afin de désactiver la "Restauration du Système" :

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR = 1

Le cheval de troie change aussi les valeurs associées au centre de sécurité Windows XP Service Pack 2, en les mettant à 0 :

HKLM\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify


Afin de désactiver les mises à jour automatiques, le cheval de troie change les valeurs suivantes :

HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions


BeavButt-A contacte un site du domaine www.admin2cash.biz pour récupérer des commandes à exécuter, probablement en téléchargeant et en installant un adware et/ou d'autres chevaux de troie.




http://www.newdimension-fr.net/