Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/aut.pzo.42496
La date de la découverte:07/10/2008
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:42.496 Octets
Somme de contrôle MD5:3dd62cac84240e01681cf5887e0ee5da
Version IVDF:7.00.07.04 - mardi 7 octobre 2008

 Général Les alias:
   •  Panda: W32/Autorun.AEE.worm
   •  Eset: Win32/TrojanDownloader.FakeAlert.LF
   •  Bitdefender: Win32.Worm.Autorun.MG


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %PROGRAM FILES%\Microsoft Common\wuauclt.exe



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

%SYSDIR%\lowsec\user.ds
%SYSDIR%\lowsec\local.ds
%SYSDIR%\sdra64.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Crypt.ZPACK.Gen

%TEMPDIR%\rld10.tmp Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Crypt.ZPACK.Gen




Il essaie de télécharger des fichiers:

– Les emplacements sont les suivants:
   • http://aaszxy.ru/load1/**********?v=1&id=76108&rs=%nombre%&cc=0&uid=1
   • http://aaszxy.ru/load1/**********?v=1&rs=%nombre%&n=1&uid=1


– L'emplacement est le suivant:
   • http://aaszxr.ru/us/**********
Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– Les emplacements sont les suivants:
   • http://001.bladespoon.cn/z28/a**********
   • http://001.bladespoon.cn/z28/c**********

 Registre La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe]
   • "Debugger"="%PROGRAM FILES%\Microsoft Common\wuauclt.exe"



Les clés de registre suivantes sont changées:

Désactive le Pare-feu du Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   La nouvelle valeur:
   • "EnableFirewall"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\sdra64.exe,"

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le lundi 30 novembre 2009
Description mise à jour par Petre Galan le lundi 30 novembre 2009

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.