Nom:WORM/Esfury.A.91
La date de la découverte:29/06/2010
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:40.960 Octets
Somme de contrôle MD5:805cad883ad580cd2bcc5347b2ef431a
Version VDF:7.10.03.196
Version IVDF:7.10.08.214 - mardi 29 juin 2010

 Général Méthodes de propagation:
   • Fonctionnalité d'exécution automatique
   • Mapped network drives


Les alias:
   •  Kaspersky: Trojan.Win32.VB.agxe
   •  TrendMicro: WORM_VBNA.AC
   •  Sophos: Mal/SillyFDC-F
   •  Microsoft: Worm:Win32/Esfury.A
   •  Panda: W32/Esfury.A
   •  VirusBuster: Trojan.VB.JSZE
   •  Eset: Win32/AutoRun.VB.QQ
   •  Sunbelt: Worm.Win32.Esfury
   •  AhnLab: Win32/Esfury.worm.40960
   •  DrWeb: Win32.HLLW.Autoruner.25669
   •  Fortinet: W32/VB.AGXE!tr
   •  Ikarus: Trojan.Win32.VB
   •  Norman: W32/Silly.BX


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il diminue les réglages de sécurité
   • Il télécharge un fichier
   • Il télécharge des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %HOME%\%username%1\winlogon.exe
   • %lecteur%\drivesguideinfo\svchost.exe



Le fichier suivant est créé:

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

– %HOME%\%username%1\VERSION.TXT Ceci est un fichier texte non malveillant avec le contenu suivant:
   • 195




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://0-0-1-0-0-1-0-0-1-1-1-1-0-1-0-**********
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\%username%1\WLO.EXE Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://0-0-1-0-0-0-1-0-1-0-0-1-0-0-**********
Il est sauvegardé sur le disque dur local à l'emplacement: %HOME%\%username%1\winhelp32.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: WORM/VBNA.B.370

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\%username%1\winlogon.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\%username%1\winlogon.exe"

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.

Description insérée par Alexandru Dinu le jeudi 12 août 2010
Description mise à jour par Alexandru Dinu le jeudi 12 août 2010

Retour . . . .