Worm.Win32_Sdbot-ZH

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté, Sdbot-ZH se copie dans le dossier système Windows sous le nom de SP00ISS.exe et, pour s'exécuter à chaque ouverture de session d'un utilisateur, crée les entrées deregistre suivantes :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Update Service
"SP00ISS.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Update Service
"SP00ISS.exe"


Sdbot-ZH se connecte à un canal IRC prédeterminé et y attend des commandes supplémentaires envoyées par les utilisateurs distants. Le composant de porte dérobée de Sdbot-ZH peut recevoir l'ordre de remplir les fonctions suivantes :

- contrôler les réseaux à la recherche de failles
- télécharger/exécuter des fichiers arbitraires
- démarrer un serveur ftp





http://fr.redtram.com/