Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Lorsqu'il est exécuté, Sdbot-WE se copie dans le répertoire %System% sous le nom "IPCONN.EXE" et crée des entrées aux emplacements suivants du registre avec la valeur "Logitech Desktop" afin d'être exécuté à chaque démarrage d'une session utilisateur :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Sdbot-WE peut également paramétrer les entrées suivantes du registre :
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"
Sdbot-WE peut tenter de supprimer les partages réseau sur l'ordinateur hôte.
Sdbot-WE se copie aussi dans le nom de fichier "ZRMOTD.DAT".