Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 213427 Octet(s)
Détails techniques:
Lorsqu'il est exécuté, Dadobra-G se copie dans le répertoire %Windows% sous le nom "sysdll.exe" et ajoute une entrée dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
winreg_32 = "%Windows%\Sysdll.exe"
Dadobra-G télécharge ensuite un fichier nommé "synncap.exe" d'un URL prédéfini :
http://sword414.{censuré}labol.uol.com.br/xp2.html
Il le sauvegarde ensuite dans le répertoire %System% puis l'exécute. Ce fichier est détecté sous le nom de "Banker-Fam"