Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Lorsqu'il est exécuté, Webus-E se copie dans le répertoire %System% sous le nom "mssecure.exe".
Il ajoute ensuite l'entrée suivante dans la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
".mssecure" = "%System%\mssecure.exe"
Webus-E tente de modifier les paramètres de sécurité du système en supprimant la clé de registre suivante :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\"KAVPersonal50"
Webus-E modifie la valeur :
"Start" = "0x4"
dans les sous-clés du registre :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SAVScan
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\navapsvc
Il tente également de désactiver les services suivants :
SAVScan
SharedAccess
Symantec Core LC
kavsvc
navapsvc
wscsvc
wuauserv
Webus-E tente d'ouvrir une porte dérobée en se connectant à l'un des domaines suivants sur le port TCP 1088:
webapi.robobot.org
webapi.megabestservices.com