Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Autorun.dcm
La date de la dcouverte:27/03/2008
Type:Ver
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:13.824 Octets
Somme de contrle MD5:7e924990480D44af6a239329b2e682cb
Version VDF:7.00.03.77
Version IVDF:7.00.03.82 - jeudi 27 mars 2008

 Gnral Mthode de propagation:
   • Mapped network drives


Les alias:
   •  Kaspersky: Worm.Win32.AutoRun.dcm
   •  F-Secure: Worm.Win32.AutoRun.dcm
   •  Grisoft: Worm/Generic.GRV
   •  Eset: Win32/AutoRun.KS
   •  Bitdefender: Win32.Worm.TQW


Plateformes / Systmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre des fichiers
   • Il modifie des registres
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %corbeille%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe
   • %lecteur%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe



Les fichiers suivants sont crs:

Fichier inoffensif:
   • %corbeille%\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKLM\Software\Microsoft\Active Setup\Installed Components\
   {08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
   • StubPath="%corbeille%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe"

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: tassweq.com
Port: 7000
Le mot de passe du serveur: trb123trb
Canal: #alhailam
Pseudonyme: %chane de caractres alatoire%


 Ensuite il a la capacit d'oprer des actions tel que:
     se connecter au serveur IRC
     Lancer des attaques DDoS SYN
     Lance des attaques DDoS UDP
    • Joindre le canal IRC

 L'injection du code viral dans d'autres processus Il s'injecte comme un nouveau fil d'excution distance dans un processus.

    Nom du processus:
   • EXPLORER.EXE

   En cas de succs, le processus malware se termine pendent que la partie injecte reste active.

 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Ana Maria Niculescu le vendredi 13 juin 2008
Description mise à jour par Andrei Gherman le jeudi 31 juillet 2008

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.