Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Méthode d'infection
Lorsqu'il est exécuté, Prutec-I modifie la valeur suivante de la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\{valeur} = "{nom de fichier}"
Note: {nom de fichier} représente l'emplacement complet ainsi que le nom du fichier exécutable du cheval de Troie. {valeur} représente le nom du fichier exécutable sans son extension.
Par exemple :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\prutqct = "c:\prutqct.exe"
Téléchargement et exécution de fichiers arbitraires
Prutec-I contact le site "www.prutect.com", et reçoit une commande encryptée lui indiquant de télécharger des fichiers additionnels. A l'heure actuelle, le cheval de Troie a pour instruction de télécharger et exécuter un fichier exécutable sauvegardé dans le répertoire "%Program Files%\E2g\IeBHOs.dll" et qui s'installe ensuite en tant que Browser Helper Object.
Le Troyen créait également les fichiers suivants (contenants des données encryptées) dans le répertoire où il est exécuté :
data.~
key.~
keylog.~
log.~