Worm.Win32_Zotob-O
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 8192 Octet(s)
Détails techniques:
Le ver Zotob-O est généralement déposé dans le dossier %System% sous le nom pnp.exe.
Il ajoute une entrée au registre afin d'être lancé à chaque démarrage de Windows :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MSPRO32 = "%System%\pnp.exe"
N.B. : Zotob-O détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Quand il est exécuté, il télécharge et exécuté les fichiers suivants :
http://strtt.interfree.it/vfprotect.exe - Un spyware
http://strtt.interfree.it/hiberium.rar - Une archive qui contient le ver plus son code source
http://utenti.lycos.it/strtt/Hiberium2.rar - Une copie de hiberium.rar
http://utenti.lycos.it/strtt/vfprotect2.exe - Une copie du spyware
Pour se propager à travers le réseau, Zotob-O tire profit d'une faille liée au service "Windows Plug and Play". Pour plus d'informations, veuillez consulter le Microsoft Security Bulletin MS05-039.
Taille: 8192 Octet(s)
Détails techniques:
Le ver Zotob-O est généralement déposé dans le dossier %System% sous le nom pnp.exe.
Il ajoute une entrée au registre afin d'être lancé à chaque démarrage de Windows :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MSPRO32 = "%System%\pnp.exe"
N.B. : Zotob-O détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.
Quand il est exécuté, il télécharge et exécuté les fichiers suivants :
http://strtt.interfree.it/vfprotect.exe - Un spyware
http://strtt.interfree.it/hiberium.rar - Une archive qui contient le ver plus son code source
http://utenti.lycos.it/strtt/Hiberium2.rar - Une copie de hiberium.rar
http://utenti.lycos.it/strtt/vfprotect2.exe - Une copie du spyware
Pour se propager à travers le réseau, Zotob-O tire profit d'une faille liée au service "Windows Plug and Play". Pour plus d'informations, veuillez consulter le Microsoft Security Bulletin MS05-039.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
