Troj_Webus-H
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 43078 Octet(s)
Détails techniques:
A son exécution, Webus-H se copie sous les noms suivants :
%Windir%\System\CSRSS.EXE
%Windir%\Application Data\Microsoft\Internet Explorer\CSRSS.exe
N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.
Il supprime le fichier Autorun.inf.
Afin d'être lancé à chaque démarrage de Windows, il ajoute les entrées de registre suivantes :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
".svchost" = "%Windir%\System\CSRSS.exe"
".svchost" = "%Windir%\Application Data\Microsoft\Internet Explorer\CSRSS.exe"
Pour autoriser les connexions réseaux, Webus-H ajoute l'entrée de registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
"{chemin_vers_le_trojan}" = "{chemin_vers_le_trojan}:*:Enabled:Microsoft Update"
N.B. : En raison d'un bug dans le code, cette entrée ne sera pas créée.
Webus-H tente de supprimer les services suivants :
SAVScan
SharedAccess
Symantec Core LC
kavsvc
navapsvc
wscsvc
wuauserv
N.B. : Si le service ne peut être supprimé, il sera désactivé.
Webus-H ouvre une porte dérobée vers l'un des serveurs suivants pour attendre des commandes d'un possible attaquant :
web.metanap.com on TCP port 1021
web.megaden.com on TCP port 1088
members.medabon.com on TCP port 1021
Cette porte dérobée permet la connexion d'une personne malveillantes afin de :
- Exécuter des fichiers
- Servir de "relai" pour le spam
Taille: 43078 Octet(s)
Détails techniques:
A son exécution, Webus-H se copie sous les noms suivants :
%Windir%\System\CSRSS.EXE
%Windir%\Application Data\Microsoft\Internet Explorer\CSRSS.exe
N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.
Il supprime le fichier Autorun.inf.
Afin d'être lancé à chaque démarrage de Windows, il ajoute les entrées de registre suivantes :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
".svchost" = "%Windir%\System\CSRSS.exe"
".svchost" = "%Windir%\Application Data\Microsoft\Internet Explorer\CSRSS.exe"
Pour autoriser les connexions réseaux, Webus-H ajoute l'entrée de registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
"{chemin_vers_le_trojan}" = "{chemin_vers_le_trojan}:*:Enabled:Microsoft Update"
N.B. : En raison d'un bug dans le code, cette entrée ne sera pas créée.
Webus-H tente de supprimer les services suivants :
SAVScan
SharedAccess
Symantec Core LC
kavsvc
navapsvc
wscsvc
wuauserv
N.B. : Si le service ne peut être supprimé, il sera désactivé.
Webus-H ouvre une porte dérobée vers l'un des serveurs suivants pour attendre des commandes d'un possible attaquant :
web.metanap.com on TCP port 1021
web.megaden.com on TCP port 1088
members.medabon.com on TCP port 1021
Cette porte dérobée permet la connexion d'une personne malveillantes afin de :
- Exécuter des fichiers
- Servir de "relai" pour le spam
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
