Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Autorun.czg
La date de la dcouverte:27/03/2008
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:13.824 Octets
Somme de contrle MD5:d7de4f1f1f388613616ab2f68abeaa62
Version IVDF:7.00.03.32 - dimanche 16 mars 2008

 Gnral Mthode de propagation:
   • Mapped network drives


Les alias:
   •  Mcafee: BackDoor-ACA.b
   •  Kaspersky: Worm.Win32.AutoRun.czg
   •  F-Secure: Worm.Win32.AutoRun.czg
   •  Grisoft: Flooder.EZD
   •  Eset: Win32/AutoRun.IX
   •  Bitdefender: Trojan.Autorun.PK


Plateformes / Systmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre des fichiers
   • Il modifie des registres
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %corbeille%\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
   • %lecteur%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe



Les fichiers suivants sont crs:

Fichier inoffensif:
   • %corbeille%\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKLM\Software\Microsoft\Active Setup\Installed Components\
   {08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
   • StubPath="%corbeille%\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe"

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: tassweq.com
Port: 7000
Le mot de passe du serveur: trb123trb
Canal: #hisham#
Pseudonyme: %chane de caractres alatoire%


 Ensuite il a la capacit d'oprer des actions tel que:
     se connecter au serveur IRC
    • Joindre le canal IRC
    • Oprer un attaque DDoS

 L'injection du code viral dans d'autres processus Il s'injecte comme un nouveau fil d'excution distance dans un processus.

    Nom du processus:
   • EXPLORER.EXE

   En cas de succs, le processus malware se termine pendent que la partie injecte reste active.

Description insérée par Andrei Gherman le mercredi 6 août 2008
Description mise à jour par Andrei Gherman le mercredi 6 août 2008

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.