Worm.Win32_Zotob-N

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 11776 Octet(s)

Détails techniques:

Zotob-N est déposé par un autre malware sous le nom %System%\update.exe) et modifie le registre afin qu'il soit lancé à chaque démarrage de Windows :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MouseDrv = "%System%\update.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
MouseDrv = "%System%\update.exe"


N.B. : Zotob-N détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

A son exécution, il télécharge et exécute les fichiers provernant du site http://6{censuré}19/ :

msvrtdd.dll - Un DLL (Dynamic Link Library) qui peut aussi télécharger un autre malware
(i]update.exe - Une copie du ver

Pour se propager à travers le réseau, Zotob-N tire profit d'une faille liée au service "Windows Plug and Play". Pour plus d'informations, veuillez consulter le Microsoft Security Bulletin MS05-039.

Zotob-N est capable de lancé une attaque par déni de service de type SYNC flood ; ce qui consommera toutes les ressources systèmes de la machine infectée.




http://fr.redtram.com/