Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Lorsqu'il est exécuté, Dropo se copie dans le répertoire de démarrage d'Excel en tant que "norma1.xlm" puis ajoute l'entrée suivante dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"WinUpdsv" = "winupdsv.exe"
Il ajoute également les sous clés suivantes :
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Common\Open Find
HKEY_CURRENT_USER\Software\Microsoft\Microsoft Agent
Dropo crée le fichier temporaire suivant :
C:\COMS.sys
Dropo dépose deux troyens aux emplacements suivants :
%System%\winupdsv.exe
%System%\sfcea.exe