Worm.Win32_Gaobot-CYX

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 158208 Octet(s)

Détails techniques:

Gaobot-CYX créait l'un des fichiers suivants (qui est une copie du ver) dans le répertoire '%System%':

CSRS.EXE
ISASS.EXE
LOGON.EXE


Il créait ensuite les entrées suivantes dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Client Server Runtime Process = %sysdir%\ csrs.exe

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Local Security Authority Service = %sysdir%\ Isass.exe

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Windows Logon Application = %sysdir%\ logon.exe


Note: %sysdir% représente l'emplacement du répertoire '%System%' dans Windows. (Généralement c:\Windows\System\)

Le ver fonctionne en permanence en tâche de fond fournissant un accès par porte dérobée à l'ordinateur.

Gaobot-CYX tente de mettre un terme à un certain nombre de processus antivirus et de sécurité en plus d'autres virus, vers et chevaux de Troie :

dllhost.exe
msblast.exe
mspatch.exe
penis32.exe
tftpd.exe
winhlpp32.exe
winppr32.exe





http://www.depannetonpc.net