Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Lorsqu'il est exécuté, Haxdoor-Y tente d'installer les fichiers suivants dans le répertoire %System% :
avpx32.dll
avpx32.sys
avpx64.sys
p3.ini
qy.sys
qz.dll
qz.sys
Note: '%System%' est une variable de localisation. Haxdoor-Y détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.
Le cheval de Troie enregistre le fichier "AVPX32.SYS" en tant que service "AVPX32" avec comme nom "AVPX TCP".
Haxdoor-Y tente également d'enregistrer "AVPX64.SYS" en tant que pilote AVPX64 avec comme nom "AVPX64 TCP".
Afin d'être exécuté à chaque démarrage d'une session utilisateur, Haxdoor-Y ajoute les entrées suivantes à la base de registre:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpx32
DllName
61,76,70,78,33,32,2e,64,6c,6c,00
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpx32
Startup
MmMapView3
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpx32
Impersonate
1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpx32
Asynchronous
1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpx32
MaxWait
1