Worm.Win32_Sdbot-AZZ

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 69620 Octet(s)

Détails techniques:

Lorsqu'il est exécuté, Sdbot-AZZ se copie dans le répertoire %System% sous le nom "MSWORD.EXE" puis crée les entrées suivantes dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
msword = "msword.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\RunOnce
msword = "msword.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
msword = "msword.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunOnce
msword = "msword.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
msword = "msword.exe"


Sdbot-AZZ se répand via les partages réseaux protégés par des mots de passe faibles en utilisant une liste de noms d'utilisateur et de mots de passe courants.

Sdbot-AZZ possède des fonctionnalités de porte dérobée. Il se connecte au site "z0n4l4rm.dynu.com" et attend les instructions d'un attaquant distant.

Le code de Sdbot-AZZ contient la chaîne de caractères suivante :

[JBbot v0.2.1 STABLE]




http://www.blocus-zone.com/