Worm.Win32_Sdbot-WE

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, Sdbot-WE se copie dans le répertoire %System% sous le nom "IPCONN.EXE" et crée des entrées aux emplacements suivants du registre avec la valeur "Logitech Desktop" afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run


Sdbot-WE peut également paramétrer les entrées suivantes du registre :

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"


Sdbot-WE peut tenter de supprimer les partages réseau sur l'ordinateur hôte.

Sdbot-WE se copie aussi dans le nom de fichier "ZRMOTD.DAT".




http://www.pourriel.ca/