Worm.Win32_Codbot-AG
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Codbot-AG est contrôlable par un attaquant distant par le biais du réseau IRC. L'attaquant peut transmettre des commandes de téléchargement et d'exécution de code malveillant, de vol de mots de passe et d'informations système et de reniflage de paquets depuis le réseau local.
Codbot-AG se copie dans le dossier système Windows sous le nom de fichier dhcpclient.exe.
Sur les versions NT de Windows (NT,2000,XP), le ver s'enregistre en tant que processus de service nommé Ulead Service s'affichant sous le nom de DHCP Client et ayant un type de démarrage automatique afin que le ver s'exécute lors du démarrage de l'ordinateur. Des entrées de registre sont créées sous :
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DHCP_CLIENT
{plusieurs entrées}
HKLM\SYSTEM\CurrentControlSet\Services\DHCP Client
{plusieurs entrées}
Codbot-AG crée aussi des entrées de registre afin de s'exécuter en tant que processus de service en mode sans échec :
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DHCP Client
(default)
Service
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DHCP Client
(default)
Service
Taille: Inconnue
Détails techniques:
Codbot-AG est contrôlable par un attaquant distant par le biais du réseau IRC. L'attaquant peut transmettre des commandes de téléchargement et d'exécution de code malveillant, de vol de mots de passe et d'informations système et de reniflage de paquets depuis le réseau local.
Codbot-AG se copie dans le dossier système Windows sous le nom de fichier dhcpclient.exe.
Sur les versions NT de Windows (NT,2000,XP), le ver s'enregistre en tant que processus de service nommé Ulead Service s'affichant sous le nom de DHCP Client et ayant un type de démarrage automatique afin que le ver s'exécute lors du démarrage de l'ordinateur. Des entrées de registre sont créées sous :
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DHCP_CLIENT
{plusieurs entrées}
HKLM\SYSTEM\CurrentControlSet\Services\DHCP Client
{plusieurs entrées}
Codbot-AG crée aussi des entrées de registre afin de s'exécuter en tant que processus de service en mode sans échec :
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DHCP Client
(default)
Service
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DHCP Client
(default)
Service
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
