Worm.Win32_Rbot-ABP

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, Rbot-ABP se copie dans le répertoire %System% sous la forme d'un fichier système caché, en lecture seule nommé "MSFIREWALI.EXE" et crée dans le registre, pour s'exécuter lors d'une ouverture de session, les entrées suivantes :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
USBDrives
msfirewalI.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
USBDrives
msfirewalI.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
USBDrives
msfirewalI.exe


Rbot-ABP change aussi dans le registre les entrées suivantes des valeurs Windows par défaut :

de :
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
Y


en :
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N


de :
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
dword:00000000


en :
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
dword:00000001


Une fois installé, Rbot-ABP tente, lorsqu'un attaquant distant le lui demande, d'effectuer les opérations suivantes :

- dérober des clés de jeux sur CD-ROM
- paramétrer un serveur FTP
- créer un serveur SOCKS4
- mettre fin à des threads et à des processus
- exécuter le contrôle de ports sur des adresses IP
- dérober des informations sur le matériel informatique
- collecter des frappes de touches
- se copier dans les dossiers partagés de réseau IPC$
- télécharger des fichiers depuis Internet et les exécuter
- participer à des attaques par déni de service (DoS)





http://www.generation-nt.com/