Worm.Win32_Rbot-AFR

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Rbot-AFR se propage en utilisant de nombreuses techniques telles que l'exploitation des mots de passe faibles sur les ordinateurs et l'exploitation des failles du système d'exploitation :

- WKS (MS03-049) : http://www.microsoft.com/technet/security/bulletin/ms03-049.mspx
- WebDav (MS03-007) : http://www.microsoft.com/technet/security/bulletin/ms03-007.mspx

Rbot-AFR est contrôlable par l'attaquant distant par le biais des canaux IRC. Le composant de porte dérobée de Rbot-AFR peut recevoir l'ordre par l'utilisateur distant de remplir les fonctions suivantes :

- démarrer un serveur FTP
- démarrer un serveur web
- participer à des attaques par déni de service distribué (DDoS)
- enregistrer des frappes de touches
- capturer des images depuis l'écran/la webcam
- renifler les paquets de réseau
- contrôler des ports
- voler des clés de CD-ROM
- télécharger/exécuter des fichiers arbitraires
- démarrer un shell à distance (RLOGIN)

Lorsqu'il est exécuté pour la première fois, Rbot-AFR se copie dans %System%\syspci32.exe.

Pour exécuter syspci32.exe au démarrage, les entrées de registre suivantes sont créées :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
System32 PCI Manager
syspci32.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
System32 PCI Manager
syspci32.exe


Les entrées suivantes du registre sont aussi paramétrées :

HKCU\Software\Microsoft\OLE
System32 PCI Manager
syspci32.exe

HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
1





http://www.pourriel.ca/