Troj_Startpage-NS

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Startpage-NS est distribué sous forme de DLL (Dynamic Link Library). Quand il est exécuté, Startpage-NS ajoute l'entrée de registre suivante :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp = rundll32 %chemin%,DllInstall

afin d'être chargé à chaque démarrage de Windows.

Il ajoute également les clefs suivantes pour sa propre utilisation :

HKCU\Software\Microsoft\Windows\shell\MRU = {valeur_aléatoire}
HKCU\Software\Microsoft\Windows\shell\MRUData = {donnée_aléatoire}

N.B. : %chemin% est l'endroit où le cheval de troie a été éxécuté. DllInstall est le nom de l'export qui est appellé quand le fichier DLL est chargé.

Le cheval de Troie crée également un mutex nommé "sp" pour empêcher l'exécution simultanée de plusieurs versions du ver sur la machine infectée.


Startpage-FZ affiche régulièrement des fenêtres pop-up afin de rediriger l'utilisateur vers des sites du domaine "ewizard.cc".




http://www.spamliste.org/