Cette section destinée aux experts, expose les détails techniques de ce virus.Taille: Inconnue
Détails techniques: Rbot-AFR se propage en utilisant de nombreuses techniques telles que l'exploitation des mots de passe faibles sur les ordinateurs et l'exploitation des failles du système d'exploitation :
- WKS (MS03-049) :
http://www.microsoft.com/technet/security/bulletin/ms03-049.mspx
- WebDav (MS03-007) :
http://www.microsoft.com/technet/security/bulletin/ms03-007.mspx
Rbot-AFR est contrôlable par l'attaquant distant par le biais des canaux IRC. Le composant de porte dérobée de Rbot-AFR peut recevoir l'ordre par l'utilisateur distant de remplir les fonctions suivantes :
- démarrer un serveur FTP
- démarrer un serveur web
- participer à des attaques par déni de service distribué (DDoS)
- enregistrer des frappes de touches
- capturer des images depuis l'écran/la webcam
- renifler les paquets de réseau
- contrôler des ports
- voler des clés de CD-ROM
- télécharger/exécuter des fichiers arbitraires
- démarrer un shell à distance (RLOGIN)
Lorsqu'il est exécuté pour la première fois, Rbot-AFR se copie dans %System%\syspci32.exe.
Pour exécuter syspci32.exe au démarrage, les entrées de registre suivantes sont créées :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
System32 PCI Manager
syspci32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
System32 PCI Manager
syspci32.exe
Les entrées suivantes du registre sont aussi paramétrées :
HKCU\Software\Microsoft\OLE
System32 PCI Manager
syspci32.exe
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
1