Troj/SadHound-A

Veuillez suivre les instructions de suppression des chevaux de Troie.

Veuillez lire les instructions de suppression des chevaux de Troie.

Windows NT/2000/XP

Sous Windows NT/2000/XP, vous devrez aussi éditer dans la base de registre l'entrée suivante. La suppression de cette entrée est optionnelle sous Windows 95/98/Me.

Dans la barre des tâches de Windows, sélectionnez Démarrer|Exécuter. Tapez "Regedit". L'éditeur de registre s'ouvrira.

Avant d'éditer le registre, vous devrez faire une sauvegarde du registre. Dans le menu Registre, cliquez sur Exporter le fichier du registre, dans Etendue de l'exportation, sélectionnez Tout puis sauvegardez votre registre.

Recherchez l'entrée sous HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft auto update
= MSWINS0CK.EXE

et supprimez-la si elle existe.

Fermez l'éditeur de registre.

Troj/SadHound-A a deux composants, un dropper et un cheval de Troie de porte dérobée IRC.

Le dropper crée le cheval de Troie de porte dérobée IRC et un fichier texte dans le dossier temp de Windows.

Le cheval de Troie de porte dérobée est exécuté par le dropper, provoquant sa copie dans le dossier système de Windows sous le nom de fichier SWINS0CK.EXE et la création dans la base de registre de l'entrée suivante pour que le cheval de Troie soit exécuté lorsque Windows démarre

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft auto update
= MSWINS0CK.EXE

Le fichier texte contient le texte suivant

"There's no
special reason
for sending
this to you,
except that...

I was feeling
a little lonely,
and when I asked myself
what I seemed to be
missing the most,
the answer
turned out to be
...you.

I Miss You"

Le cheval de Troie de porte dérobée IRC se connecte sur un serveur IRC et joint un canal spécifique. Le serveur attend alors qu'un attaquant joigne ce canal et qu'il envoie des commandes à exécuter sur l'ordinateur de la victime.