Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 43078 Octet(s)
Détails techniques:
A son exécution, Webus-H se copie sous les noms suivants :
%Windir%\System\CSRSS.EXE
%Windir%\Application Data\Microsoft\Internet Explorer\CSRSS.exe
N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.
Il supprime le fichier Autorun.inf.
Afin d'être lancé à chaque démarrage de Windows, il ajoute les entrées de registre suivantes :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
".svchost" = "%Windir%\System\CSRSS.exe"
".svchost" = "%Windir%\Application Data\Microsoft\Internet Explorer\CSRSS.exe"
Pour autoriser les connexions réseaux, Webus-H ajoute l'entrée de registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
"{chemin_vers_le_trojan}" = "{chemin_vers_le_trojan}:*:Enabled:Microsoft Update"
N.B. : En raison d'un bug dans le code, cette entrée ne sera pas créée.
Webus-H tente de supprimer les services suivants :
SAVScan
SharedAccess
Symantec Core LC
kavsvc
navapsvc
wscsvc
wuauserv
N.B. : Si le service ne peut être supprimé, il sera désactivé.
Webus-H ouvre une porte dérobée vers l'un des serveurs suivants pour attendre des commandes d'un possible attaquant :
web.metanap.com on TCP port 1021
web.megaden.com on TCP port 1088
members.medabon.com on TCP port 1021
Cette porte dérobée permet la connexion d'une personne malveillantes afin de :
- Exécuter des fichiers
- Servir de "relai" pour le spam