Troj_Spyre-C

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Spyre-C peut créer dans le registre des entrées sous HKLM\Software\AntivirusGold.

Spyre-C se copie dans le dossier système Windows sous le nom winnook.exe et paramètre dans le registre l'entrée suivante afin de s'exécuter à chaque ouverture de session par un utilisateur :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Intel system tool
"%System%\winnook.exe"


Note: '%System%' est une variable de localisation. Spyre-C détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

Le cheval de Troie injecte un fichier nommé desktop.html dans le dossier Windows qui contient les fausses alertes de sécurité et invite à visiter le site Web distant.

Le texte suivant apparaît dans le message :

WARNING! YOU'RE IN DANGER! ALL YOU DO WITH COMPUTER IS STORED FOREVER IN YOUR HARD DISK. WHEN YOU VISIT SITES, SEND EMAILS... ALL YOUR ACTIONS ARE LOGGED.
AND IT IS IMPOSSIBLE TO REMOVE THEM WITH STANDARD TOOLS. YOUR DATA IS STILL
AVAILABLE FOR FORENSICS. AND IN SOME CASES FOR YOUR BOSS, YOUR FRIENDS, YOUR
WIFE, YOUR CHILDREN.


Spyre-C peut aussi télécharger des fichiers depuis un site distant et les exécuter.




http://www.generation-nt.com/