Nom:Worm/Autorun.cbm.4
La date de la découverte:21/08/2008
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:233.472 Octets
Somme de contrôle MD5:0658e57e4190ff5db50A3507b3ec2887
Version VDF:7.00.06.50
Version IVDF:7.00.06.51 - jeudi 21 août 2008

 Général Méthode de propagation:
   • Mapped network drives


Les alias:
   •  Mcafee: W32/Autorun.worm.bm
   •  Kaspersky: Worm.Win32.AutoRun.cbm
   •  F-Secure: Worm.Win32.AutoRun.cbm
   •  Eset: Win32/AutoRun.PD
   •  Bitdefender: Trojan.Downloader.VB.AXY


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier
   • Il crée des fichiers
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\userinit.exe
   • %SYSDIR%\system.exe
   • \Secret.exe



Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %SYSDIR%\MSWINSCK.OCX

\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

%WINDIR%\kdcoms.dll Ce fichier contient des frappes de touche collectés.



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://fil**********pera.com/hav_online/files/task.rar

 Registre La clé suivante est en permanence ajoutée aux registres, dans une boucle infinie, afin de lancer le processus après le redémarrage.

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Userinit="%WINDIR%\userinit.exe"

 Porte dérobée Serveur de contact:
Le suivant:
   • scs**********h.cx:8800


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.

Description insérée par Ana Maria Niculescu le mercredi 25 février 2009
Description mise à jour par Andrei Gherman le lundi 2 mars 2009

Retour . . . .