W32/Argdoor-A
Alias
Backdoor-AZJ, W32/IRCBot.Gen
Type
Cheval de Troie
Détection
Un fichier d'identité virale (IDE) permettant de vous protéger est désormais disponible depuis la section Dernières identités virales, et est intégré à la version Mars 2004 (3.79) de Sophos Anti-Virus.
Description
W32/Argdoor-A est un ver Windows qui se propage sur les partages réseau. Le ver a aussi un composant de porte dérobée qui permet à un utilisateur malveillant d'accéder à distance à un ordinateur par le réseau IRC.
 
Pour s'exécuter automatiquement lorsque Windows démarre, le ver se copie dans le fichier rdpty.exe sous le dossier système de Windows et configure dans la base de registre l'entrée suivante pour pointer vers ce fichier :
 
HKLM\Software\Classes\exefile\shell\open\command\
 
W32/Argdoor-A essaie de se copier dans les dossiers suivants des partages non protégés :
\Windows\Menú Inicio\Programas\Inicio\MsUpdate.exe
\Windows\Start Menu\Programs\Startup\MsUpdate.exe
\Windows.000\Menú Inicio\Programas\Inicio\MsUpdate.exe
\Windows.000\Start Menu\Programs\Startup\MsUpdate.exe
\WinME\Menú Inicio\Programas\Inicio\MsUpdate.exe
\WinME\Start Menu\Programs\Startup\MsUpdate.exe
\Win98\Menú Inicio\Programas\Inicio\MsUpdate.exe
\Win98\Start Menu\Programs\Startup\MsUpdate.exe
\Documents and Settings\All Users\Start Menu\Programs\Startup\MsUpdate.exe
\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\MsUpdate.exe
 
W32/Argdoor-A peut aussi configurer dans la base de registre l'entrée HKLM\Software\BeyonD inDustries\ProtoType[v2].