Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 54272 Octet(s)
Détails techniques:
Quand Doyorg est exécuté, il se copie sous le nom %Windir%\svchost.exe
Afin d'être lancé à chaque démarrage de Windows, il ajoute la valeur :
"Shell = "Explorer.exe %Windir%\svchost.exe"
à l'entrée de registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.
Doyorg ouvre une porte-dérobée en se connectant à un serveur IRC du domaine d205.yi.org et attend des commandes d'un utilisateur malveillant. Ce dernier peut :
- Télécharger et exécuter des fichiers
- Envoyer un message aux contacts AIM de la victime
Le message est le suivant :
hey check out this
N.B. : this est un lien hypertexte prédéfini par le pirate, tel que http://ce{censuré}com/gallery/gallery.com.
La victime doit cliquer sur le lien "this", télécharger le fichier gallery.com et l'exécuter.