Troj_Stwoyle

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 69632 Octet(s)

Détails techniques:

Quand Stwoyle est exécuté, il crée les entrées de registre suivantes :

HKEY_CLASSES_ROOT\CLSID\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\style2


Puis il télécharge le fichier winstyle2.dll, depuis le site http://2pursuit.com/{censuré}, dans le répertoire %System%.

N.B. : Stwoyle détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Il s'ajoute en tant que BHO (Browser Helper Object), c'est à dire qu'il ajoute ses fonctionnalités au navigateur.

Stwoyle crée ensuite les entrées de registre suivantes :

HKEY_CURRENT_USER\Software\Microsoft\style2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}


Et essaie d'accéder aux sites suivants :

http://massearch.net/{censuré}
http://2pursuit.com/{censuré}

Le cheval de Troie envoie les informations suivantes aux serveurs cités ci-dessus :

- Nom d'utilisateur par défaut
- Type de réseau
- Version du système d'exploitation
- Temps d'accès

Le cheval de Troie peut télécharger des mises à jour de Stwoyle.




http://www.generation-nt.com/