Worm.Win32_Rbot-AEF

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Rbot-AEF s'exécute en permanence en tâche de fond, fournissant un serveur de porte dérobée qui permet à l'utilisateur distant de prendre l'accès et le contrôle de l'ordinateur via les canaux IRC.

Lorsqu'il est exécuté, Rbot-AEF se copie dans "%System%\winsys.exe".

Note: '%System%' est une variable de localisation. Rbot-AEF détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

Pour exécuter winsys.exe au démarrage, les entrées de registre suivantes sont créées :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows System
WINSYS.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows System
WINSYS.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows System
WINSYS.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows System
WINSYS.exe


Des entrées de registre sont paramétrées comme suit :

HKCU\SYSTEM\CurrentControlSet\Control\Lsa
Windows System
WINSYS.exe

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Windows System
WINSYS.exe

HKCU\Software\Microsoft\OLE
Windows System
WINSYS.exe

HKLM\SOFTWARE\Microsoft\Ole
Windows System
WINSYS.exe





http://www.infoshackers.com