Nom:Worm/Autorun.apt
La date de la découverte:09/09/2008
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:14.229 Octets
Somme de contrôle MD5:efd0575398fa48583d501fb6b9f7b2d3
Version IVDF:7.00.06.131 - mardi 9 septembre 2008

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: W32.Rispif.A
   •  Kaspersky: Worm.Win32.AutoRun.msz
   •  F-Secure: Worm.Win32.AutoRun.msz
   •  Bitdefender: Win32.Worm.Autorun.LW


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il crée un fichier
   • Il crée un fichier malveillant

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\wuauclt.exe
   • %SYSDIR%\dllcache\wuauclt.exe
   • C:\LIS.PIF



Les fichiers suivants sont créés:

– c:\AUTORUN.INF Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%SYSDIR%\Drivers\beep.sys Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Rootkit.Gen




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://m.c5x8.com/**********/10.exe
Il est sauvegardé sur le disque dur local à l'emplacement: C:\Documents and Settings\10.pif Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: DR/Agent.abpb.1


– L'emplacement est le suivant:
   • http://m.c5x8.com/**********/9.exe
Il est sauvegardé sur le disque dur local à l'emplacement: C:\Documents and Settings\9.pif Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Agent.AJVA.5


– L'emplacement est le suivant:
   • http://m.c5x8.com/**********/8.exe
Il est sauvegardé sur le disque dur local à l'emplacement: C:\Documents and Settings\8.pif Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://m.c5x8.com/**********/7.exe
Il est sauvegardé sur le disque dur local à l'emplacement: C:\Documents and Settings\7.pif Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://m.c5x8.com/**********/6.exe
Il est sauvegardé sur le disque dur local à l'emplacement: C:\Documents and Settings\6.pif Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: DR/BHO.agk


– L'emplacement est le suivant:
   • http://m.c5x8.com/**********/5.exe
Il est sauvegardé sur le disque dur local à l'emplacement: C:\Documents and Settings\5.pif Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://m.c5x8.com/**********/4.exe
Il est sauvegardé sur le disque dur local à l'emplacement: C:\Documents and Settings\4.pif Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://m.c5x8.com/**********/3.exe
Il est sauvegardé sur le disque dur local à l'emplacement: C:\Documents and Settings\3.pif Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.JKKF.16


– L'emplacement est le suivant:
   • http://m.c5x8.com/**********/2.exe
Il est sauvegardé sur le disque dur local à l'emplacement: C:\Documents and Settings\2.pif Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: DR/Cinmus.rrl


– L'emplacement est le suivant:
   • http://m.c5x8.com/**********/1.exe
Il est sauvegardé sur le disque dur local à l'emplacement: C:\Documents and Settings\1.pif Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Crypt.XPACK.Gen


– L'emplacement est le suivant:
   • http://m.c5x8.com/**********/x.gif
Il est sauvegardé sur le disque dur local à l'emplacement: %PROGRAM FILES%\ee.pif Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Au moment de l'analyse, ceci était déjà une nouvelle version de Malware

 Arrêt de processus: La liste des processus qui sont terminés:
   • VsTskMgr.exe; Avp.EXE; AVP.COM; Iparmor.exeKVWSC.EXE; kvsrvxp.exe;
      kvsrvxp.kxp; KvXP.kxp; KRegEx.exe; ANTIARP.exe; VPTRAY.exe; VPC32.exe;
      scan32.exe; KASARP.exe; nod32krn.exe; nod32kui.exe; TBMon.exe;
      rfwmain.exe; RavStub.exe; rfwstub.exe; rfwProxy.exe; rfwsrv.exe;
      UpdaterUI.exe; KPfwSvc; kwatch.exe; KAVPFW.EXE; kavstart.exe;
      kmailmon.exe; GFUpd.exe; Ravxp.exe; GuardField.exe; RAVMOND.EXE;
      RAVMON.EXE; CCenter.EXE; RAv.exe; Runiep.exe; ArSwp.EXE; SREngLdr.EXE;
      msconfig.EXE; rfwsrv.EXE; rfwProxy.EXE; rfwstub.EXE; RavStub.EXE;
      rfwmain.EXE; GFUpd.EXE; GuardField.EXE; Runiep.EXE; kavstart.EXE;
      kmailmon.EXE; kwatch.EXE; RAV.EXE; KASARP.EXE; ANTIARP.EXE;
      VPTRAY.EXE; VPC32.EXE; AutoRunKiller.EXE; Regedit.EXE;
      WOPTILITIES.EXE; Ast.EXE; Mmsk.EXE

Les processus avec une des chaînes de caractères suivantes sont terminés:
   • Norton AntiVirus Server; McAfee Framework; Symantec AntiVirus
      Definition Watcher; Symantec AntiVirus Drivers Services; Symantec
      AntiVirus; worm; anti; virus; Firewall; Mcafee; NOD32; McShield


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Thomas Wegele le mercredi 10 septembre 2008
Description mise à jour par Thomas Wegele le jeudi 11 septembre 2008

Retour . . . .