Worm.Win32_Gaobot-CYX
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 158208 Octet(s)
Détails techniques:
Gaobot-CYX créait l'un des fichiers suivants (qui est une copie du ver) dans le répertoire '%System%':
CSRS.EXE
ISASS.EXE
LOGON.EXE
Il créait ensuite les entrées suivantes dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Client Server Runtime Process = %sysdir%\ csrs.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Local Security Authority Service = %sysdir%\ Isass.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Windows Logon Application = %sysdir%\ logon.exe
Note: %sysdir% représente l'emplacement du répertoire '%System%' dans Windows. (Généralement c:\Windows\System\)
Le ver fonctionne en permanence en tâche de fond fournissant un accès par porte dérobée à l'ordinateur.
Gaobot-CYX tente de mettre un terme à un certain nombre de processus antivirus et de sécurité en plus d'autres virus, vers et chevaux de Troie :
dllhost.exe
msblast.exe
mspatch.exe
penis32.exe
tftpd.exe
winhlpp32.exe
winppr32.exe
Taille: 158208 Octet(s)
Détails techniques:
Gaobot-CYX créait l'un des fichiers suivants (qui est une copie du ver) dans le répertoire '%System%':
CSRS.EXE
ISASS.EXE
LOGON.EXE
Il créait ensuite les entrées suivantes dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Client Server Runtime Process = %sysdir%\ csrs.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Local Security Authority Service = %sysdir%\ Isass.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Windows Logon Application = %sysdir%\ logon.exe
Note: %sysdir% représente l'emplacement du répertoire '%System%' dans Windows. (Généralement c:\Windows\System\)
Le ver fonctionne en permanence en tâche de fond fournissant un accès par porte dérobée à l'ordinateur.
Gaobot-CYX tente de mettre un terme à un certain nombre de processus antivirus et de sécurité en plus d'autres virus, vers et chevaux de Troie :
dllhost.exe
msblast.exe
mspatch.exe
penis32.exe
tftpd.exe
winhlpp32.exe
winppr32.exe
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
