Worm.Win32_Sdbot-ZC

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, Sdbot-ZC se copie dans le répertoire %System% sous le nom de "wnmgre.exe" et, pour s'exécuter à chaque ouverture de session, crée dans le registre les entrées suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
IPC Spool Manager
wnmgre.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
IPC Spool Manager
wnmgre.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
IPC Spool Manager
wnmgre.exe


Sdbot-ZC se connecte à un canal IRC prédéterminé et attend d'autres commandes provenant d'utilisateurs distants. On peut ordonner au composant de porte dérobée de Sdbot-ZC d'exécuter les opérations suivantes:
- contrôler les réseaux à la recherche de failles
- télécharger/exécuter des fichiers arbitraires
- lancer un serveur ftp
- participer à des attaques par Déni de service distribué (DdoS)




http://www.lesdepeches.com/