Troj_Prutec-I

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Méthode d'infection

Lorsqu'il est exécuté, Prutec-I modifie la valeur suivante de la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\{valeur} = "{nom de fichier}"

Note: {nom de fichier} représente l'emplacement complet ainsi que le nom du fichier exécutable du cheval de Troie. {valeur} représente le nom du fichier exécutable sans son extension.

Par exemple :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\prutqct = "c:\prutqct.exe"

Téléchargement et exécution de fichiers arbitraires

Prutec-I contact le site "www.prutect.com", et reçoit une commande encryptée lui indiquant de télécharger des fichiers additionnels. A l'heure actuelle, le cheval de Troie a pour instruction de télécharger et exécuter un fichier exécutable sauvegardé dans le répertoire "%Program Files%\E2g\IeBHOs.dll" et qui s'installe ensuite en tant que Browser Helper Object.

Le Troyen créait également les fichiers suivants (contenants des données encryptées) dans le répertoire où il est exécuté :

data.~
key.~
keylog.~
log.~





http://www.hackers-news.com/