Worm.Win32_Zotob-O

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 8192 Octet(s)

Détails techniques:

Le ver Zotob-O est généralement déposé dans le dossier %System% sous le nom pnp.exe.

Il ajoute une entrée au registre afin d'être lancé à chaque démarrage de Windows :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MSPRO32 = "%System%\pnp.exe"


N.B. : Zotob-O détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

Quand il est exécuté, il télécharge et exécuté les fichiers suivants :

http://strtt.interfree.it/vfprotect.exe - Un spyware
http://strtt.interfree.it/hiberium.rar - Une archive qui contient le ver plus son code source
http://utenti.lycos.it/strtt/Hiberium2.rar - Une copie de hiberium.rar
http://utenti.lycos.it/strtt/vfprotect2.exe - Une copie du spyware

Pour se propager à travers le réseau, Zotob-O tire profit d'une faille liée au service "Windows Plug and Play". Pour plus d'informations, veuillez consulter le Microsoft Security Bulletin MS05-039.




http://www.pourriel.ca/