Troj_Dadobra-G

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 213427 Octet(s)

Détails techniques:

Lorsqu'il est exécuté, Dadobra-G se copie dans le répertoire %Windows% sous le nom "sysdll.exe" et ajoute une entrée dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
winreg_32 = "%Windows%\Sysdll.exe"


Dadobra-G télécharge ensuite un fichier nommé "synncap.exe" d'un URL prédéfini :

http://sword414.{censuré}labol.uol.com.br/xp2.html

Il le sauvegarde ensuite dans le répertoire %System% puis l'exécute. Ce fichier est détecté sous le nom de "Banker-Fam"




http://www.spamliste.org/