Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Rbot-XM se propage par diverses techniques telles que l'exploitation des mots de passe faibles ou l'exploitation des failles du système d'exploitation.
Rbot-XM peut être commandé par un attaquant distant via des canaux IRC. L'utilisateur distant peut ainsi ordonner au composant de porte dérobée de Rbot-XM d'effectuer une série prédéfinie de fonctions.
Méthode d'infection
Lorsqu'il est exécuté, Rbot-XM se copie dans le répertoire %System% en tant que "CMD16.EXE" et modifie la base de registre système avec la valeur "Dynamic Dns Binary" afin d'être exécuté à chaque démarrage d'une session utilisateur :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Note: '%System%' est une variable de localisation. Rbot-XM détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.
Rbot-XM modifie également les valeurs du registre suivantes toutes les 2 minutes :
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"
Rbot-XM tente de terminer un certain nombre de processus dont "REGEDIT.EXE", "MSCONFIG.EXE" et "NETSTAT.EXE".
Rbot-XM tente de loguer les frappes clavier dans le fichier "WINKEYCFG32.TXT" du répertoire %System%.
Note: '%System%' est une variable de localisation. Rbot-XM détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.