Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Autorun.dcm
La date de la découverte:27/03/2008
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:13.824 Octets
Somme de contrôle MD5:7e924990480D44af6a239329b2e682cb
Version VDF:7.00.03.77
Version IVDF:7.00.03.82 - jeudi 27 mars 2008

 Général Méthode de propagation:
   • Mapped network drives


Les alias:
   •  Kaspersky: Worm.Win32.AutoRun.dcm
   •  F-Secure: Worm.Win32.AutoRun.dcm
   •  Grisoft: Worm/Generic.GRV
   •  Eset: Win32/AutoRun.KS
   •  Bitdefender: Win32.Worm.TQW


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %corbeille%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe
   • %lecteur%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe



Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %corbeille%\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
   • StubPath="%corbeille%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe"

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: tassweq.com
Port: 7000
Le mot de passe du serveur: trb123trb
Canal: #alhailam
Pseudonyme: %chaîne de caractères aléatoire%


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • Joindre le canal IRC

 L'injection du code viral dans d'autres processus – Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Nom du processus:
   • EXPLORER.EXE

   En cas de succès, le processus malware se termine pendent que la partie injectée reste active.

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Ana Maria Niculescu le vendredi 13 juin 2008
Description mise à jour par Andrei Gherman le jeudi 31 juillet 2008

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.