Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:WORM/Autorun.bhko
La date de la découverte:17/05/2010
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:36.864 Octets
Somme de contrôle MD5:7b508569587800f36a602faf565a44e2
Version VDF:7.10.07.115

 Général Méthode de propagation:
   • Mapped network drives


Les alias:
   •  Symantec: W32.SillyFDC
   •  Kaspersky: Worm.Win32.AutoRun.bhko
   •  TrendMicro: WORM_AUTORUN.MTZ
   •  F-Secure: Trojan.Generic.4126632
   •  Sophos: Mal/SillyFDC-F
   •  Panda: W32/Autorun.JXY
   •  VirusBuster: Worm.AutoRun.APJH
   •  Eset: Win32/AutoRun.VB.PA
   •  Bitdefender: Trojan.Generic.4126632


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %HOME%\%username%1\winlogon.exe



Le fichier suivant est créé:

– %HOME%\%username%1\VERSION.TXT Ceci est un fichier texte non malveillant avec le contenu suivant:
   • 190




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://0-0-0-1-0-1-1-1-1-1-0-1-0-1-1-1-1-0-0-0-0-0-1-1-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.in**********
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\%username%1\wlo.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dropper.Gen


– Les emplacements sont les suivants:
   • http://0-0-0-1-0-1-1-1-1-1-0-1-0-1-1-1-1-0-0-0-0-0-1-1-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.in**********
   •
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\%username%1\winhelp32.exe Détecté comme: WORM/VBNA.B.370

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\%username%1\winlogon.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\%username%1\winlogon.exe"

 Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Description insérée par Alexandru Dinu le vendredi 9 juillet 2010
Description mise à jour par Alexandru Dinu le vendredi 9 juillet 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.