Worm.Win32_Sdranck-C

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 37888 Octet(s)

Détails techniques:

Lorsqu'il est exécuté, Sdranck-C copie d'autres malwares sous les noms de fichiers "imaxavos.exe" et "ikusefote.exe" dans le répertoire C:\WINNT\SYSTEM32, puis passe à l'exécution des deux fichiers.

ikusefote.exe est détecté sous le nom de Ranck-CP.
imaxavos.exe est détecté sous le nom de Sdranck-C.

Lorsque "imaxavos.exe" est exécuté, il se copie dans le répertoire %System% sous le nom de "ihotunib.exe".

Note: '%System%' est une variable de localisation. Sdranck-C détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

Sdranck-C crée dans le registre les entrées suivantes pour pouvoir être exécuté lors d'une ouverture de session :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Adiliwut
ihotunib.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Adiliwut
ihotunib.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Adiliwut
ihotunib.exe


Lorsqu'un attaquant distant le lui ordonne, le ver tente aussi de télécharger des fichiers depuis Internet et de les exécuter, de mettre fin à des processus et d'ajouter ou de supprimer des partages réseau.

Sdranck-C tente de se copier sur des partages réseau à l'aide du principal composant injecteur "rudim.exe".




http://www.zebulon.fr/