Worm.Win32_Esalone-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Esalone-A est un ver de réseau qui se répand en se copiant sur les partages réseaux non sécurisés.

Lorsqu'il est exécuté, Esalone-A se copie dans le répertoire %Windows% sous le nom "daemon.exe" et ajoute l'entrée suivante dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Daemon
"daemon.exe c daemon2.exe"


Esalone-A tente de se copier sous le nom de fichier "Office_Service.pif" dans le répertoire %Windows%\Start Menu\Programs\inicio.

Esalone-A se copie sur les partages réseaux non sécurisés sous le nom de "Readme.txt.exe". Il insère ensuite une copy du ver dans des archives Winzip et Winrar en utilisant le même nom de fichier.

Esalone-A peut également créer un certain nombre de fichier tels que :

Infect.drv
Muerte.drv
infectate.reg
WinZip.reg
WinRar.reg





http://www.secuobs.com/