Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Autorun.zvj
La date de la découverte:11/02/2009
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:24.660 Octets
Somme de contrôle MD5:a4e34591b7ec8e73b0d8aec161bf9395
Version IVDF:7.01.02.09 - mercredi 11 février 2009

 Général Méthode de propagation:
   • Autorun feature (fr)


Les alias:
   •  Mcafee: W32/Autorun.worm.ex
   •  Panda: W32/Autorun.IST.worm
   •  Eset: Win32/AutoRun.Agent.JA
   •  Bitdefender: Trojan.Agent.AMQQ


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il bloque l'accès aux certains sites web
   • Il bloque l'accès aux sites web de sécurité
   • Il télécharge des fichiers malveillants
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers  Ils produisent des copies de leur mêmes. Et en plus des bytes incidentaires vont être attaches, lesquelles ne soient plus identiques avec le fichier original.    • %WINDIR%\ini\ini.exe
   • \recycle.{%GUID%}\ini.exe



Il écrase un fichier.
%SYSDIR%\drivers\etc\hosts



Il supprime sa propre copie, exécutée initialement



Il supprime le fichier suivant:
   • %WINDIR%\Help\%all files%



Les fichiers suivants sont créés:

%WINDIR%\ini\desktop.ini
\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

%WINDIR%\ini\wsock32.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Autorun.nvc

%tous les dossiers%\wsock32.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Autorun.nvc

%WINDIR%\ini\shit.vbs Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Script.11167

%WINDIR%\Tasks\°²×°.bat Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Autorun.zvj




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://w.wonthe.cn/**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://w.ssddffgg.cn/d2/**********?mac=dKYBBzvozo&ver=1.3
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://w.ssddffgg.cn/**********

 Registre Les valeurs de la clé de registre suivante sont supprimées:

–  [HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings]
   • ActiveDebugging
   • DisplayLogo
   • SilentTerminate
   • UseWINSAFER



Les clés de registre suivantes, y compris toutes les valeurs et les sous-clés, sont enlevées.
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\]



La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}]
   • "@"="windir"
   • "stubpath"="%WINDIR%\ini\shit.vbs"

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées existantes sont écrasées

– L'accès aux liens URL suivants est effectivement bloqué :
   • 127.0.0.1 www.360.cn; 127.0.0.1 www.360safe.cn; 127.0.0.1
      www.360safe.com; 127.0.0.1 www.chinakv.com; 127.0.0.1
      www.rising.com.cn; 127.0.0.1 rising.com.cn; 127.0.0.1 dl.jiangmin.com;
      127.0.0.1 jiangmin.com; 127.0.0.1 www.jiangmin.com; 203.208.37.99
      www.duba.net; 127.0.0.1 www.eset.com.cn; 127.0.0.1 www.nod32.com;
      203.208.37.99 shadu.duba.net; 203.208.37.99 union.kingsoft.com;
      127.0.0.1 www.kaspersky.com.cn; 127.0.0.1 kaspersky.com.cn; 127.0.0.1
      virustotal.com; 127.0.0.1 www.kaspersky.com; 127.0.0.1 60.210.176.251;
      127.0.0.1 www.cnnod32.cn; 127.0.0.1 www.lanniao.org; 127.0.0.1
      www.nod32club.com; 127.0.0.1 www.dswlab.com; 127.0.0.1 bbs.sucop.com;
      127.0.0.1 www.virustotal.com; 127.0.0.1 tool.ikaka.com; 127.0.0.0
      360.qihoo.com; 127.0.0.1 qihoo.com; 127.0.0.1 www.qihoo.com; 127.0.0.1
      www.qihoo.cn; 127.0.0.1 124.40.51.17; 127.0.0.1 58.17.236.92


 Arrêt de processus: La liste des processus qui sont terminés:
   • rfwproxy.exe; rfwmain.exe; rfwsrv.exe; Navapsvc.exe; Navapw32.exe;
      EGHOST.EXE; FileDsty.exe; RavTask.exe; RavMonD.exe; UlibCfg.exe;
      CCenter.exe; RavMon.exe; RavLite.exe; Rav.exe; kasmain.exe;
      kissvc.exe; kavstart.exe; kwatch.exe; kav32.exe; 360Safe.exe; avp.exe;
      vptray.exe; mmsk.exe; FWMon.exe; THGUARD.EXE; TrojanHunter.exe;
      TBSCAN.EXE; WEBSCANX.EXE; Iparmor.exe; PFW.exe; AST.exe; ast.exe;
      360tray.exe


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le vendredi 26 février 2010
Description mise à jour par Andrei Ivanes le mardi 2 mars 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.