Troj_Shed-A

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Afin d'être exécuté automatiquement à l'ouverture de session, Shed-A crée dans le registre les entrées suivantes :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
{paire de mots}
%System%\bopotsvr.exe

HKCR\Classes\CLSID\{GUID}\InProcServer32\
default)
C:\\WINDOWS\\System32\\c_12atex.dll

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad
Shedule Address
{GUID}


Note: {GUID} est une séquence générée aléatoirement et {paire de mots} est une combinaison de deux mots pris au hasard dans la liste suivante :
Internet
Security
Protocol
Meeting
Shedule
Explorer
Messenger
Browser
Component
Windows
Media
Player
Address
Themes
Update
Connection
Agent
WebControl
Network
Remote
Access
Terminal
Client


S'il est exécuté avec des droits suffisants, Shed-A s'installe sous la forme d'une application autorisée par le Pare-feu Windows pour communiquer avec le monde extérieur.

Shed-A peut tenter de télécharger des fichiers de configuration spécifiant d'autres actions à prendre, y compris le téléchargement et l'exécution de fichiers.

Shed-A injecte un autre fichier dans le dossier temporaire Windows et l'exécute.

Ce fichier ouvre une fenêtre Internet Explorer cachée à une URL préconfigurée après avoir modifié les paramètres de sécurité Internet en changeant dans le registre les entrées suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
1001
0

HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
1004
0

HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
1201
0





http://www.newdimension-fr.net/