Worm.Win32_Rbot-XS

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Rbot-XS se propage par diverses techniques telles que l'exploitation des mots de passe faibles ou l'exploitation des failles du système d'exploitation.

Rbot-XS peut être commandé par un attaquant distant via des canaux IRC. L'utilisateur distant peut ainsi ordonner au composant de porte dérobée de Rbot-XS d'effectuer une série prédéfinie de fonctions.

Méthode d'infection

Lorsqu'il est exécuté, Rbot-XS se copie dans le répertoire %System% en tant que "TAY0X.EXE" et modifie la base de registre système afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
aldefr ere service
tay0x.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
aldefr ere service
tay0x.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
aldefr ere service
tay0x.exe


Note: '%System%' est une variable de localisation. Rbot-XS détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

Rbot-XS modifie les entrées suivantes dans la base de registre afin de désactiver DCOM et supprimer les restrictions du partages IPC$:

HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
1


Rbot-XS modifie également l'entrée suivante de la base de registre afin de restreindre l'accès anonyme aux comptes SAM :

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymousSAM


Rbot-XS peut ajouter et supprimer des partages réseaux et des utilisateurs sur le système infecté.




http://www.generation-nt.com/