Troj_Webus-H

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 43078 Octet(s)

Détails techniques:

A son exécution, Webus-H se copie sous les noms suivants :

%Windir%\System\CSRSS.EXE
%Windir%\Application Data\Microsoft\Internet Explorer\CSRSS.exe


N.B. : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

Il supprime le fichier Autorun.inf.

Afin d'être lancé à chaque démarrage de Windows, il ajoute les entrées de registre suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
".svchost" = "%Windir%\System\CSRSS.exe"
".svchost" = "%Windir%\Application Data\Microsoft\Internet Explorer\CSRSS.exe"


Pour autoriser les connexions réseaux, Webus-H ajoute l'entrée de registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
"{chemin_vers_le_trojan}" = "{chemin_vers_le_trojan}:*:Enabled:Microsoft Update"


N.B. : En raison d'un bug dans le code, cette entrée ne sera pas créée.

Webus-H tente de supprimer les services suivants :

SAVScan
SharedAccess
Symantec Core LC
kavsvc
navapsvc
wscsvc
wuauserv


N.B. : Si le service ne peut être supprimé, il sera désactivé.

Webus-H ouvre une porte dérobée vers l'un des serveurs suivants pour attendre des commandes d'un possible attaquant :

web.metanap.com on TCP port 1021
web.megaden.com on TCP port 1088
members.medabon.com on TCP port 1021


Cette porte dérobée permet la connexion d'une personne malveillantes afin de :

- Exécuter des fichiers
- Servir de "relai" pour le spam




http://www.liens-utiles.org/