_Doyorg

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 54272 Octet(s)

Détails techniques:

Quand Doyorg est exécuté, il se copie sous le nom %Windir%\svchost.exe

Afin d'être lancé à chaque démarrage de Windows, il ajoute la valeur :

"Shell = "Explorer.exe %Windir%\svchost.exe"

à l'entrée de registre :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

Doyorg ouvre une porte-dérobée en se connectant à un serveur IRC du domaine d205.yi.org et attend des commandes d'un utilisateur malveillant. Ce dernier peut :

- Télécharger et exécuter des fichiers
- Envoyer un message aux contacts AIM de la victime

Le message est le suivant :

hey check out this

N.B. : this est un lien hypertexte prédéfini par le pirate, tel que http://ce{censuré}com/gallery/gallery.com.
La victime doit cliquer sur le lien "this", télécharger le fichier gallery.com et l'exécuter.




http://www.spamliste.org/