Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Autorun.czg
La date de la découverte:27/03/2008
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:13.824 Octets
Somme de contrôle MD5:d7de4f1f1f388613616ab2f68abeaa62
Version IVDF:7.00.03.32 - dimanche 16 mars 2008

 Général Méthode de propagation:
   • Mapped network drives


Les alias:
   •  Mcafee: BackDoor-ACA.b
   •  Kaspersky: Worm.Win32.AutoRun.czg
   •  F-Secure: Worm.Win32.AutoRun.czg
   •  Grisoft: Flooder.EZD
   •  Eset: Win32/AutoRun.IX
   •  Bitdefender: Trojan.Autorun.PK


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %corbeille%\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
   • %lecteur%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe



Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %corbeille%\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
   • StubPath="%corbeille%\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe"

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: tassweq.com
Port: 7000
Le mot de passe du serveur: trb123trb
Canal: #hisham#
Pseudonyme: %chaîne de caractères aléatoire%


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Joindre le canal IRC
    • Opérer un attaque DDoS

 L'injection du code viral dans d'autres processus – Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Nom du processus:
   • EXPLORER.EXE

   En cas de succès, le processus malware se termine pendent que la partie injectée reste active.

Description insérée par Andrei Gherman le mercredi 6 août 2008
Description mise à jour par Andrei Gherman le mercredi 6 août 2008

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.