Dursg, VBInject, Usuge, VBKrypt, Koobfa, Autorun
Windows 2000, Windows XP, Windows Server 2003
Installation
Introduit les fichiers suivants :
(Remarque : %System% est le dossier système de Windows, le plus souvent C:\Windows\System sous Windows 98 et ME, C:\WINNT\System32 sous Windows NT et 2000 ou C:\Windows\System32 sous Windows XP et Server 2003.. %User Profile% est le dossier du profil de l'utilisateur actuel ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur} sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur} sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur} sous Windows 2000, XP et Server 2003.. %User Temp% est le dossier temporaire de l'utilisateur actuel, le plus souvent C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Temp sous Windows 2000, XP et Server 2003.)
Introduit les duplicats suivants au sein du système affecté.
(Remarque :%System Root% est le dossier racine, généralement C:\. Il s'agit également de l'emplacement dans lequel se trouve le système d'exploitation.. %User Profile% est le dossier du profil de l'utilisateur actuel ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur} sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur} sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur} sous Windows 2000, XP et Server 2003.. %Windows% est le dossier Windows, généralement C:\Windows ou C:\WINNT.)
Crée les dossiers suivants :
(Remarque :%System Root% est le dossier racine, généralement C:\. Il s'agit également de l'emplacement dans lequel se trouve le système d'exploitation.. %User Profile% est le dossier du profil de l'utilisateur actuel ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur} sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur} sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur} sous Windows 2000, XP et Server 2003.)
Technique de démarrage automatique
Ajoute les entrées de registre suivantes afin de s'exécuter automatiquement à chaque démarrage système :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
sysldtray = "%Windows%\ld04.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
RTHDBPL = "%User Profile%\Application Data\SystemProc\lsass.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Intel Management Services v32 = "%System Root%\Documents and Settings\All Users\Application Data\mplf\mstime32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random CLSID}
StubPath = "%System Root%\Documents and Settings\All Users\Application Data\mplf\mstime32.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
wupd32 = "%User Profile%\Application Data\system\svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
sysldtray = "%Windows%\ld03.exe"
Autres modifications du système
Ajoute les clés de registre suivantes :
HKEY_CURRENT_USER\Software\Microsoft\
xMyDate
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random CLSID}
HKEY_CURRENT_USER\Software\verona_4l
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ql600oko
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\swoko
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\apto6ko
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\cpqoko6
Ajoute les entrées de registre suivantes :
HKEY_CURRENT_USER\Identities
Curr version = "{number}"
HKEY_CURRENT_USER\Identities
Last Date = "{date}"
HKEY_CURRENT_USER\Identities
Inst Date = "{date}"
HKEY_CURRENT_USER\Identities
Popup count = "{number}"
HKEY_CURRENT_USER\Identities
Popup time = "{number}"
HKEY_CURRENT_USER\Identities
Popup date = "{number}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Program Files%\internet explorer\iexplore.exe = "%Program Files%\internet explorer\iexplore.exe:*:Enabled:Internet Explorer"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
TI = "{number}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
TP = "{number}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
termsvc = "{hex value}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
tapisrvs = "{hex value}"