Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:WORM/Autorun.bhko
La date de la dcouverte:17/05/2010
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:36.864 Octets
Somme de contrle MD5:7b508569587800f36a602faf565a44e2
Version VDF:7.10.07.115

 Gnral Mthode de propagation:
   • Mapped network drives


Les alias:
   •  Symantec: W32.SillyFDC
   •  Kaspersky: Worm.Win32.AutoRun.bhko
   •  TrendMicro: WORM_AUTORUN.MTZ
   •  F-Secure: Trojan.Generic.4126632
   •  Sophos: Mal/SillyFDC-F
   •  Panda: W32/Autorun.JXY
   •  VirusBuster: Worm.AutoRun.APJH
   •  Eset: Win32/AutoRun.VB.PA
   •  Bitdefender: Trojan.Generic.4126632


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge un fichier malveillant
   • Il cre des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %HOME%\%username%1\winlogon.exe



Le fichier suivant est cr:

%HOME%\%username%1\VERSION.TXT Ceci est un fichier texte non malveillant avec le contenu suivant:
   • 190




Il essaie de tlcharger des fichiers:

L'emplacement est le suivant:
   • http://0-0-0-1-0-1-1-1-1-1-0-1-0-1-1-1-1-0-0-0-0-0-1-1-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.in**********
Il est sauvegard sur le disque dur local l'emplacement: %HOME%\%username%1\wlo.exe Ensuite, ce fichier est excut aprs avoir t completment tlcharg. Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: TR/Dropper.Gen


Les emplacements sont les suivants:
   • http://0-0-0-1-0-1-1-1-1-1-0-1-0-1-1-1-1-0-0-0-0-0-1-1-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.in**********
   •
Il est sauvegard sur le disque dur local l'emplacement: %HOME%\%username%1\winhelp32.exe Dtect comme: WORM/VBNA.B.370

 Registre Les cls de registre suivantes sont ajoutes afin d'excuter des processus aprs le redmarrage:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\%username%1\winlogon.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\%username%1\winlogon.exe"

 Dtails de fichier Langage de programmation:
Le fichier a t crit en Visual Basic.

Description insérée par Alexandru Dinu le vendredi 9 juillet 2010
Description mise à jour par Alexandru Dinu le vendredi 9 juillet 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.