Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Autorun.FY.1
La date de la découverte:12/11/2007
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:229.621 Octets
Somme de contrôle MD5:ffeeecb3ab1bb248968a89c75671c792
Version IVDF:7.00.00.200 - lundi 12 novembre 2007

 Général Méthode de propagation:
   • Mapped network drives


Les alias:
   •  Mcafee: W32/Autorun.worm.g virus
   •  Kaspersky: Worm.Win32.AutoRun.ek
   •  F-Secure: Worm.Win32.AutoRun.ek
   •  Sophos: W32/Imaut-A
   •  Grisoft: Worm/Autoit.HL
   •  Eset: Win32/Autoit.BD worm
   •  Bitdefender: Trojan.Autorun.ND


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Access sur disquette    • Il crée un fichier
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\smss.exe
   • %WINDIR%\killer.exe
   • %WINDIR%\Funny UST Scandal.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\lsass.exe
   • %lecteur%\smss.exe
   • %lecteur%\Funny UST Scandal.avi.exe



Le fichier suivant est créé:

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • [autorun]
     open = smss.exe
     shell\Open\Command=smss.exe
     shell\Open\Default=1
     shell\Explore\Command=smss.exe
     shell\Autoplay\Command=smss.exe
     

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Runonce="%WINDIR%\smss.exe"



Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Shell="explorer.exe, killer.exe"



Les clés de registre suivantes sont ajoutée:

– [HKCR\.vbs]
   • (Default)="exefile" (Hidden)

– [HKCR\.reg]
   • (Default)="exefile" (Hidden)



La clé de registre suivante est changée:

Différents réglages pour Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   L'ancienne valeur:
   • CheckedValue=dword:00000001
   La nouvelle valeur:
   • CheckedValue=dword:00000000

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Alexander Neth le lundi 14 juillet 2008
Description mise à jour par Alexander Neth le lundi 14 juillet 2008

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.