Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Rbot-AEF s'exécute en permanence en tâche de fond, fournissant un serveur de porte dérobée qui permet à l'utilisateur distant de prendre l'accès et le contrôle de l'ordinateur via les canaux IRC.
Lorsqu'il est exécuté, Rbot-AEF se copie dans "%System%\winsys.exe".
Note: '%System%' est une variable de localisation. Rbot-AEF détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.
Pour exécuter winsys.exe au démarrage, les entrées de registre suivantes sont créées :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows System
WINSYS.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows System
WINSYS.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows System
WINSYS.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows System
WINSYS.exe
Des entrées de registre sont paramétrées comme suit :
HKCU\SYSTEM\CurrentControlSet\Control\Lsa
Windows System
WINSYS.exe
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Windows System
WINSYS.exe
HKCU\Software\Microsoft\OLE
Windows System
WINSYS.exe
HKLM\SOFTWARE\Microsoft\Ole
Windows System
WINSYS.exe