Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 69632 Octet(s)
Détails techniques:
Quand Stwoyle est exécuté, il crée les entrées de registre suivantes :
HKEY_CLASSES_ROOT\CLSID\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\style2
Puis il télécharge le fichier winstyle2.dll, depuis le site http://2pursuit.com/{censuré}, dans le répertoire %System%.
N.B. : Stwoyle détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Il s'ajoute en tant que BHO (Browser Helper Object), c'est à dire qu'il ajoute ses fonctionnalités au navigateur.
Stwoyle crée ensuite les entrées de registre suivantes :
HKEY_CURRENT_USER\Software\Microsoft\style2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}
Et essaie d'accéder aux sites suivants :
http://massearch.net/{censuré}
http://2pursuit.com/{censuré}
Le cheval de Troie envoie les informations suivantes aux serveurs cités ci-dessus :
- Nom d'utilisateur par défaut
- Type de réseau
- Version du système d'exploitation
- Temps d'accès
Le cheval de Troie peut télécharger des mises à jour de Stwoyle.