Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Lorsqu'il est exécuté, Rbot-ABP se copie dans le répertoire %System% sous la forme d'un fichier système caché, en lecture seule nommé "MSFIREWALI.EXE" et crée dans le registre, pour s'exécuter lors d'une ouverture de session, les entrées suivantes :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
USBDrives
msfirewalI.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
USBDrives
msfirewalI.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
USBDrives
msfirewalI.exe
Rbot-ABP change aussi dans le registre les entrées suivantes des valeurs Windows par défaut :
de :
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
Y
en :
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N
de :
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
dword:00000000
en :
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
dword:00000001
Une fois installé, Rbot-ABP tente, lorsqu'un attaquant distant le lui demande, d'effectuer les opérations suivantes :
- dérober des clés de jeux sur CD-ROM
- paramétrer un serveur FTP
- créer un serveur SOCKS4
- mettre fin à des threads et à des processus
- exécuter le contrôle de ports sur des adresses IP
- dérober des informations sur le matériel informatique
- collecter des frappes de touches
- se copier dans les dossiers partagés de réseau IPC$
- télécharger des fichiers depuis Internet et les exécuter
- participer à des attaques par déni de service (DoS)