_ForBot-ME

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 109568 Octet(s)

Détails techniques:

ForBot-ME peut se répandre en exploitant la faiblesse des mots de passe des partages réseaux ou des vulnérabilités sur des logiciels spécifiques.

Cette variante de ForBot a la particularité d'être compactée avec eXPressor et possède les caractéristiques suivantes :

Lorsqu'il est exécuté, ForBot-ME se copie dans le répertoire %System% en tant que "nvsc32.exe" et effectue les modifications suivantes dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NvCplScan = "nvsc32.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\NvCplScan = "nvsc32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NvCplScan = "nvsc32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\NvCplScan = "nvsc32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\NvCplScan = "nvsc32.exe"


Note: '%System%' est une variable de localisation. ForBot-ME détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

ForBot.ME créait également le service suivant afin d'être exécuté automatiquement :

Nom du Service: NvCplScan
Nom affiché: NvCplScan
Chemin de l'exécutable: "%System%\nvsc32.exe" -netsvcs





http://www.hackisknowledge.org/