Worm.Win32_Bobax-F

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, le ver créait un composant DLL dans un répertoire temporaire (C:\Documents and Settings\{nom_utilisateur}\Local Settings\Temp\) avec un nom aléatoire.

Lorsque le composant DLL est chargé en mémoire, le module exécutable du ver se copie dans le répertoire %System% avec un nom aléatoire.

Bobax-F ajoute ensuite des entrées dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
{nom_aleatoire} = {emplacement_du_ver}


Bobax-F embarque également un relais de messagerie qui convertit la machine infectée en ordinateur "zombie" permettant l'envoi massif de courriels non sollicités.




http://www.infoshackers.com