Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 8200 Octet(s)
Détails techniques:
A l'exécution de BeavButt-A, le cheval de troie se copie dans %System%\soft.exe.
Pour se lancer à chaque démarrage de Windows, il modifie les entrées de registre suivantes :
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\run\Web Service = "%System%\soft.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run\Web Service =" %System%\soft.exe"
HKCU\Software\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}\StubPath = "%System%\soft.exe"
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run = "%System%\soft.exe"
N.B. : BeavButt-A détermine l'emplacement du répertoire "%System%" en tenant compte de la version du Windows utilsée. Par défaut, sous Windows 2000 et NT, c'est C:\Winnt\System32 ; sous Windows 95/98/Me, c'est C:\Windows\System et sous XP : C:\Windows\System32.
BeavButt-A termine le process explorer.exe, le modifie, et le relance. Le cheval de troie écrase ensuite les copies suivantes de explorer.exe (si elles existent) :
%Windows%\ServicePackFiles\i386\explorer.exe
%System%\dllcache\explorer.exe
Il change la valeurs de registre suivante, afin de désactiver la "Restauration du Système" :
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR = 1
Le cheval de troie change aussi les valeurs associées au centre de sécurité Windows XP Service Pack 2, en les mettant à 0 :
HKLM\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify
Afin de désactiver les mises à jour automatiques, le cheval de troie change les valeurs suivantes :
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions
BeavButt-A contacte un site du domaine www.admin2cash.biz pour récupérer des commandes à exécuter, probablement en téléchargeant et en installant un adware et/ou d'autres chevaux de troie.