Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Autoit.abc.4
La date de la découverte:22/10/2009
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:696.089 Octets
Somme de contrôle MD5:52776e4710c0fb306a12cc53264f2f21
Version IVDF:7.01.06.139 - jeudi 22 octobre 2009

 Général Les alias:
   •  Mcafee: W32/Renocide
   •  Panda: W32/Harakit.D
   •  Eset: Win32/AutoRun.Autoit.BT
   •  Bitdefender: Trojan.Generic.2600459


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\csrcs.exe



Il supprime sa propre copie, exécutée initialement



Il supprime le fichier suivant:
   • C:\Temp\suicide.bat



Les fichiers suivants sont créés:

%SYSDIR%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

%TEMPDIR%\suicide.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre Les clés de registre suivantes sont ajoutée:

– [HKLM\Software\Microsoft\DRM\amty]
   • "dreg"="408406541BC5BBE4DC197A2A0C46B9ACF2F90D96B151D7C7BCBD177641EE95F562E634D70EB70FB65FC8FBF0EC31261C8626D05B1ED70CC881A48DA07A7E1A99"
   • "exp1"="408406541BC5BBE4DC197A2A0C46B9A9F2F90D96B151D7C7BCBD177641EE95F6"
   • "fix"=""
   • "fix1"="1"
   • "ilop"="1"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • "Shell"="Explorer.exe csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   La nouvelle valeur:
   • "CheckedValue"=dword:0x00000001

 Porte dérobée Les ports suivants sont ouverts:

– uyhnmk.jp**********.ph sur le port TCP 7872
– 3h58gkl6.tr**********.com sur le port TCP 9392

 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant les sites web suivants:
   • http://www.whatismyip.com/automation/**********
   • http://checkip.d**********/?rnd1=64403.1400432929&rnd2=49465.6987388073

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le jeudi 11 mars 2010
Description mise à jour par Petre Galan le vendredi 12 mars 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.