Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:VBS/Autorun.l2
La date de la découverte:23/01/2008
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:6.053 Octets
Somme de contrôle MD5:153e90f0ca2a0de93da62e6789c91f22
Version IVDF:7.00.02.35 - mercredi 23 janvier 2008

 Général Méthode de propagation:
   • Autorun feature (fr)


Les alias:
   •  Mcafee: VBS/Autorun.worm.au
   •  Sophos: W32/Autorun-AWJ
   •  Panda: VBS/Autorun.EB
   •  Eset: VBS/AutoRun.L
   •  Bitdefender: Trojan.VBS.Autorun.ACS


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • \UserConfig.vbs



Il supprime les fichiers suivants:
   • %TEMPDIR%\username.bat
   • %TEMPDIR%\username.txt
   • %SYSDIR%\username.txt
   • %TEMPDIR%\TempCmd.cmd
   • %TEMPDIR%\TempReg.reg



Les fichiers suivants sont créés:

%TEMPDIR%\TempReg.reg Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

%SYSDIR%\username.txt
\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

%TEMPDIR%\username.txt
%TEMPDIR%\username.bat Ensuite, il est exécuté après avoir été completment crée.
%TEMPDIR%\TempCmd.cmd Ensuite, il est exécuté après avoir été completment crée.



Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • cmd /c ""C:\Temp\TempCmd.cmd" "


– Nom de fichier: Noms des fichiers:
   • regedit /s C:\Temp\TempReg.reg


– Nom de fichier: Noms des fichiers:
   • cmd /c ""C:\Temp\username.bat" "

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RunUserConfig"="%TEMPDIR%\UserConfig.vbs"



La clé de registre suivante est changée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "ShowSuperHidden"=dword:0x00000000

Description insérée par Petre Galan le jeudi 1 avril 2010
Description mise à jour par Petre Galan le jeudi 1 avril 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.