Virus.EM97_Dropo

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, Dropo se copie dans le répertoire de démarrage d'Excel en tant que "norma1.xlm" puis ajoute l'entrée suivante dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"WinUpdsv" = "winupdsv.exe"


Il ajoute également les sous clés suivantes :

HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Common\Open Find
HKEY_CURRENT_USER\Software\Microsoft\Microsoft Agent


Dropo crée le fichier temporaire suivant :
C:\COMS.sys

Dropo dépose deux troyens aux emplacements suivants :

%System%\winupdsv.exe
%System%\sfcea.exe





http://www.echu.org/