Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 109568 Octet(s)
Détails techniques:
ForBot-ME peut se répandre en exploitant la faiblesse des mots de passe des partages réseaux ou des vulnérabilités sur des logiciels spécifiques.
Cette variante de ForBot a la particularité d'être compactée avec eXPressor et possède les caractéristiques suivantes :
Lorsqu'il est exécuté, ForBot-ME se copie dans le répertoire %System% en tant que "nvsc32.exe" et effectue les modifications suivantes dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NvCplScan = "nvsc32.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\NvCplScan = "nvsc32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NvCplScan = "nvsc32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\NvCplScan = "nvsc32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\NvCplScan = "nvsc32.exe"
Note: '%System%' est une variable de localisation. ForBot-ME détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.
ForBot.ME créait également le service suivant afin d'être exécuté automatiquement :
Nom du Service: NvCplScan
Nom affiché: NvCplScan
Chemin de l'exécutable: "%System%\nvsc32.exe" -netsvcs