Description complète

Nom:	TR/Autorun.27648
La date de la découverte:	19/05/2008
Type:	Cheval de Troie
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Faible a moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	27648 Octets
Somme de contrôle MD5:	25df082e988842e1604b5a893572a083
Version IVDF:	7.00.04.62 - lundi 19 mai 2008

Général Méthode de propagation:
   • Mapped network drives

Les alias:
   • Mcafee: W32/Autorun.worm.f
   • Kaspersky: Worm.Win32.AutoRun.cpi
   • F-Secure: Worm.Win32.AutoRun.cpi
   • Sophos: W32/Autorun-BC
   • Grisoft: Worm/Generic.FNV
   • Eset: Win32/AutoRun.GR
   • Bitdefender: Worm.Autorun.Delf.H

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il télécharge des fichiers
   • Il crée des fichiers
   • Il diminue les réglages de sécurité
   • Il modifie des registres

Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\system.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Explorer.exe
   • %lecteur%\auto.exe

Les fichiers suivants sont créés:

– %lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

Il essaie de télécharger des fichiers:

– Les emplacements sont les suivants:
   • http://72.232.108.82/~grimsby/**********/button1.jpg
   • http://72.232.108.82/~grimsby/**********/button1.pdf
   • http://72.232.108.82/~grimsby/**********/button1.png
   • http://72.232.141.84/~cgitnet/**********/ChangeLog.pdf
   • http://72.232.141.84/~cgitnet/**********/ChangeLog.png
   • http://72.232.141.84/~cgitnet/**********/ChangeLog.txt
   • http://72.232.208.150/~aryacdc/**********/toc.gif
   • http://72.232.208.150/~aryacdc/**********/toc.pdf
   • http://72.232.208.150/~aryacdc/**********/toc.png
   • http://206.221.179.205/~ampedmed/Forums/**********/xand/upgrade.pdf
   • http://206.221.179.205/~ampedmed/Forums/**********/xand/upgrade.png
   • http://206.221.179.205/~ampedmed/Forums/**********/xand/upgrade.tpl
   • http://216.246.30.66/~mkshost/forums/**********/subSilver/upgrade.pdf
   • http://216.246.30.66/~mkshost/forums/**********/subSilver/upgrade.png
   • http://216.246.30.66/~mkshost/forums/**********/subSilver/upgrade.tpl
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe
Il exécute le fichier avec les paramètres suivantes : http://70.86.197.82/~ohnishi/**********/test2.htm

Registre Les clés de registre suivantes, y compris toutes les valeurs et les sous-clés, sont enlevées.
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]

Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Bkav2006.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\IEProt.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\bdss.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\vsserv.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\bdagent.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\xcommsvr.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\livesrv.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\worm2007.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\PFW.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Kav.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KVOL.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KVFW.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\TBMon.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\kav32.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\kvwsc.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\CCAPP.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\EGHOST.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KRegEx.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\kavsvc.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\VPTray.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\RAVMON.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KavPFW.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\SHSTAT.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\RavTask.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\TrojDie.kxp.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Iparmor.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\MAILMON.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\MCAGENT.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KAVPLUS.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\RavMonD.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Rtvscan.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Nvsvc32.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KVMonXP.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Kvsrvxp.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\CCenter.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KpopMon.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\RfwMain.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KWATCHUI.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\MCVSESCN.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\MSKAGENT.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\kvolself.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KVCenter.kxp.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\kavstart.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\RAVTIMER.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\RRfwMain.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\FireTray.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\UpdaterUI.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\KVSrvXp_1.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\RavService.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\icesword.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\cmd.exe]
   • Debugger = system.exe

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\far.exe]
   • Debugger = system.exe

Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • Shell = Explorer.exe
   • Userinit = %SYSDIR%\userinit.exe
   La nouvelle valeur:
   • Shell = Explorer.exe, System
   • Userinit = %SYSDIR%\userinit.exe, System

– [HKCU\Software\Yahoo\pager\View\YMSGR_buzz]
   La nouvelle valeur:
   • content url = http://clickmanu.com

– [HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast]
   La nouvelle valeur:
   • content url = http://clickmanu.com

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   La nouvelle valeur:
   • DisableTaskMgr = 1
   • DisableRegistryTools = 1

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   La nouvelle valeur:
   • DisableTaskMgr = 1
   • DisableRegistryTools = 1

La page de démarrage d'Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   L'ancienne valeur:
   • Start Page = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • Start Page = http://clickmanu.com

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • NoDriveTypeAutoRun = dword:00000091
   • NoRun = 1
   • NoFolderOptions = 1

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • Hidden = 2
   • ShowSuperHidden = 0
   • HideFileExt = 1

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   La nouvelle valeur:
   • CheckedValue = 0

– [HKCU\Software\Microsoft\Command Processor]
   La nouvelle valeur:
   • EnableExtensions = 0

– [HKCU\Software\Microsoft\Internet Explorer\New Windows]
   La nouvelle valeur:
   • PopupMgr = 0

Arrêt de processus: Arrête l'exécution des processus qui contient une des chaînes de caractères suivantes dans le nom du fichier:
   • Bkav2006.exe; IEProt.exe; bdss.exe; vsserv.exe; bdagent.exe;
      xcommsvr.exe; livesrv.exe; worm2007.exe; PFW.exe; Kav.exe; KVOL.exe;
      KVFW.exe; TBMon.exe; kav32.exe; kvwsc.exe; CCAPP.exe; EGHOST.exe;
      KRegEx.exe; kavsvc.exe; VPTray.exe; RAVMON.exe; KavPFW.exe;
      SHSTAT.exe; RavTask.exe; TrojDie.kxp.exe; Iparmor.exe; MAILMON.exe;
      MCAGENT.exe; KAVPLUS.exe; RavMonD.exe; Rtvscan.exe; Nvsvc32.exe;
      KVMonXP.exe; Kvsrvxp.exe; CCenter.exe; KpopMon.exe; RfwMain.exe;
      KWATCHUI.exe; MCVSESCN.exe; MSKAGENT.exe; kvolself.exe;
      KVCenter.kxp.exe; kavstart.exe; RAVTIMER.exe; RRfwMain.exe;
      FireTray.exe; UpdaterUI.exe; KVSrvXp_1.exe; RavService.exe;
      icesword.exe; cmd.exe; far.exe

La liste des services qui sont désactivés:
   • sharedaccess; RsCCenter; RsRavMon; KVWSC; KVSrvXP; McAfeeFramework;
      McShield; McTaskManager; navapsvc; wscsvc; KPfwSvc; SNDSrvc; ccProxy;
      ccEvtMgr; ccSetMgr; SPBBCSvc; Symantec Core LC; NPFMntor; MskService;
      FireSvc

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Description insérée par Andrei Gherman le vendredi 13 juin 2008
Description mise à jour par Andrei Gherman le vendredi 13 juin 2008

Retour . . . .

Protection avancée pour votre PC

Produits gratuits

Les plus populaires

Tous les produits

Offres groupées

Stations de travail

Server

Offres groupées

Mail Gateways

Web Gateways

Plateformes collaboratives

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils