Cette section destinée aux experts, expose les détails techniques de ce virus.Taille: 8704 Octet(s)
Détails techniques: Quand il est exécuté, Bube-J se copie dans le dossier
%System%\svhost.exe, puis modifie le registre afin d'être lancé à chaque démarrage de Windows :
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\run\System backup ="%System%\SVHOST.EXE"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run\System backup ="%System%\SVHOST.EXE"
N.B. : Bube-J détermine l'emplacement du répertoire
%System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de
C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de
C:\Windows\System et sous XP :
C:\Windows\System32.
Bube-J termine le processus
explorer.exe, le modifie et le relance. Bube-J écrase ensuite les copies suivantes de
explorer.exe (si elles existent) :
%Windir%\ServicePackFiles\i386\explorer.exe
%System%\dllcache\explorer.exe
N.B. :
%Windir% représentant le dossier Windows, généralement situé ici
C:\Windows ou là
C:\WINNT.
Cette modification du processus permet, au cheval de Troie, de contacter un site du domaine
advadmin.biz afin de recevoir des commandes, probablement concernant le téléchargement et l'installation de adware et/ou d'autres chevaux de Troie.
Sur les systèmes Windows XP, une fenêtre de dialogue s'ouvre, après le changement de
explorer.exe (voir capture d'écran).
Bube-J change l'entrée de registre suivante pour désactiver la "Restauration du Système" :
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR = 1
Bube-J change les entrées de registre suivantes, associées au Centre de Sécurité (uniquement sur Windows XP SP2), en les affectant à 0 :
HKLM\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify
HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify
HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify
Il désactive aussi le système de mise à jour automatique en changeant les valeurs de registres suivantes :
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptionsCapture(s) d'écran: