Worm.Win32_Rbot-AAJ

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Rbot-AAJ tente de se propager en exploitant les failles suivantes :
DCOM (MS04-012)
LSASS (MS04-011)
Serveurs Microsoft SQL avec mots de passe faibles


Lorsqu'il est exécuté, Rbot-AAJ se déplace dans le répertoire %System% sous le nom de "WINTSK32DLL.EXE". Afin de s'exécuter automatiquement à chaque ouverture de session, Rbot-AAJ paramètre les entrées suivantes du registre :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
wintsk32dll
wintsk32dll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
wintsk32dll
wintsk32dll.exe


Note: '%System%' est une variable de localisation. Rbot-AAJ détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

Rbot-AAJ paramètre également l'entrée suivante du registre :

HKCU\Software\Microsoft\OLE
wintsk32dll
wintsk32dll.exe


Le ver fonctionne en permanence en tâche de fond, permettant via des canaux IRC un accès par porte dérobée à l'ordinateur infecté.

Rbot-AAJ peut modifier les entrées suivantes du registre pour activer/désactiver DCOM et ouvrir/fermer des restrictions sur les partages IPC$ :

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous





http://www.echu.org/