Worm.Win32_Tirbot-D

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Le composant de porte dérobée rejoint l'un des 4 canaux IRC prédéterminés et attend d'autres commandes des utilisateurs distants.

Un utilisateur distant peut alors ordonner au composant de porte dérobée d'exécuter les fonctions suivantes :
Participer à des attaques par Déni de service distribué (DdoS)
Télécharger des fichiers en amont/en aval
Exécuter des fichiers
Servir de serveur proxy
Collecter des informations dans le registre système
Signaler des informations du système de fichiers
Enumérer des processus d'exécution
Effectuer des contrôles de présence virus
Mettre fin à des processus en cours d'exécution
Supprimer des entrées du registre


Tirbot-D tente de rapporter l'infection à une URL prédéfinie.

Lorsqu'il est exécuté, Tirbot-D se copie dans le répertoire %System% sous le nom de "MSDTCs.exe" et, pour s'exécuter à chaque ouverture de session, paramètre l'entrée suivante du registre :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
IECheck
%System%\MSDTCs.exe


Note: '%System%' est une variable de localisation. Tirbot-D détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.




http://www.pourriel.ca/