Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Winko.I
La date de la dcouverte:22/10/2007
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:~17.000 Octets
Version IVDF:7.00.00.117 - lundi 22 octobre 2007

 Gnral Mthode de propagation:
   • Mapped network drives


Les alias:
   •  Kaspersky: Worm.Win32.AutoRun.cxp
   •  F-Secure: Worm:W32/AutoRun.CX
   •  Grisoft: Downloader.Small.BYN
   •  Eset: Win32/TrojanDownloader.Flux.AC
   •  Bitdefender: Win32.Worm.Winko.I

Dtection similaires:
     Worm/Winko.I.%nombre%


Plateformes / Systmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge des fichiers
   • Il cre un fichier malveillant
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\%plusieurs chiffres ale?atoires%.EXE
   • %lecteur%\auto.exe



Il supprime sa propre copie, excute initialement



Les fichiers suivants sont crs:

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%SYSDIR%\C%plusieurs chiffres ale?atoires%.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: TR/Autorun.CA




Il essaie de tlcharger un ficher:

L'emplacement est le suivant:
   • http://33.xingaide8.cn/**********/update.txt
Ce fichier peut contenir d'autres emplacements de tlchargement et pourrait servir comme source de nouvelles menaces.

 Registre Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

[HKLM\SYSTEM\CurrentControlSet\Services\
   %chane de caractres alatoire%]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\%plusieurs chiffres ale?atoires%.EXE -k
   • DisplayName = %chane de caractres alatoire%
   • ObjectName = LocalSystem
   • Description = C%plusieurs chiffres ale?atoires%

[HKLM\SYSTEM\CurrentControlSet\Services\
   %chane de caractres alatoire%\Security]
   • Security = %valeurs hexa%



La cl de registre suivante, y compris toutes les valeurs et les sous-cls, est enleve.
   • [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]



Les cls de registre suivantes sont changes:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   La nouvelle valeur:
   • CheckedValue = 0

[HKLM\SOFTWARE\Microsoft\Windows NT]
   La nouvelle valeur:
   • ReportBootOk= 1

[HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
   La nouvelle valeur:
   • DoReport = 0
   • ShowUI = 0

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\C%plusieurs chiffres ale?atoires%.dll

    Tous les processus suivants:
   • explorer.exe
   • winlogon.exe
   • %tous les processus en excution"

   En cas de succs, le processus malware se termine pendent que la partie injecte reste active.

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • Upack

Description insérée par Andrei Gherman le lundi 16 juin 2008
Description mise à jour par Andrei Gherman le jeudi 19 juin 2008

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.