Nom:Worm/Autorun.phg
La date de la découverte:09/10/2008
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:118.784 Octets
Somme de contrôle MD5:0a2566df33fe77ebd22e9acd8aae2a6e
Version IVDF:7.00.07.16 - jeudi 9 octobre 2008

 Général Méthode de propagation:
   • Autorun feature (fr)


Les alias:
   •  Mcafee: W32/Autorun.worm.gen
   •  Sophos: Mal/Generic-A
   •  Panda: W32/Autorun.IPF
   •  Eset: Win32/AutoRun.IRCBot.DY
   •  Bitdefender: Trojan.Generic.1684107


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • \RESTORE\%CLSID%\ise32.exe



Les fichiers suivants sont créés:

\RESTORE\%CLSID%\Desktop.ini
\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

 Registre Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Classes\.key]
   • "@"="regfile"

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
   • "StubPath"="c:\RESTORE\%CLSID%\ise32.exe"

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: jpg.ms**********.us
Port: 1863
Pseudonyme: [laMer]%chaîne de caractères aléatoire%

 L'injection du code viral dans d'autres processus – Il s'injecte comme fil d'exécution dans un processus.

    Nom du processus :
   • explorer.exe


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le vendredi 5 mars 2010
Description mise à jour par Petre Galan le vendredi 5 mars 2010

Retour . . . .