Troj_Blole-I

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Quand il est exécuté, Blole-I se copie sous le nom %Windir%\dclog.exe et s'enregistre en tant que services, sur les systèmes basés sur Windows NT (nom : "dclog" ; description : "Dell OpenManage Server Agent Log"). Sur les systèmes Windows 9x, il modifie l'entrée de registre suivante, pour se lancer à chaque démarrage :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Dell OpenManage Server Agent Log = "%Windir%\dclog.exe"

N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

Le cheval de Troie télécharge des informations supplémentaires depuis un site enregistré dans la ville Chinoise de Shangaï (actuellement, une adresse IP et un port TCP) permettant de joindre la personne souhaitant contrôler la machine infectée.

Blole-I crée également le fichier "dclog.bbk" (10 octets) dans le répertoire %Windir% avec pour contenu :

"MS-REDMOND".




NEWSNOW