Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/AutoIt.YH
La date de la dcouverte:18/08/2010
Type:Ver
Sous type:Downloader
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:641.728 Octets
Somme de contrle MD5:a52344dbf51069a071bd6cf719ff8ddf
Version IVDF:7.10.10.208 - mercredi 18 août 2010

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Les alias:
   •  Kaspersky: Worm.Win32.AutoIt.yh
     Avast: AutoIt:Balero-C
   •  Panda: Trj/CI.A
     DrWeb: Win32.HLLW.Autoruner.based
     Ikarus: Worm.Win32.AutoIt


Plateformes / Systmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effets secondaires:
   • Il cre des fichiers
   • Il cre des fichiers malveillants
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\csrcs.exe
   • %SYSDIR%\%chane de caractres alatoire%.exe
   • c:\%repertoire actuel%\%chane de caractres alatoire%.exe



Il supprime sa propre copie, excute initialement



Les fichiers suivants sont crs:

– Des fichiers qui peuvent tre supprims aprs:
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\%chane de caractres alatoire%
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\%chane de caractres alatoire%

c:\%repertoire actuel%\s.cmd Ensuite, il est excut aprs avoir t completment cre. Ceci est un fichier texte non malveillant qui contient d'information au sujet de soi-mme.



Il essaie de tlcharger des fichiers:

L'emplacement est le suivant:
   • http://fl**********.exe
Il est sauvegard sur le disque dur local l'emplacement: %SYSDIR%\RegShellSM.exe Ensuite, ce fichier est excut aprs avoir t completment tlcharg.

L'emplacement est le suivant:
   • http://9**********.exe
Il est sauvegard sur le disque dur local l'emplacement: %SYSDIR%\ip.exe Ensuite, ce fichier est excut aprs avoir t completment tlcharg.

 Registre Les cls de registre suivantes sont ajoutes afin de charger les services aprs le redmarrage:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "csrcs"="%SYSDIR%\csrcs.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002
   • "SuperHidden"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"=dword:00000001



Les cls de registre suivantes sont ajoute:

[HKLM\Software\Microsoft\DRM\amty]
   • "ilop"="1"
   • "fix"=""
   • "fix1"="1"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Carlos Valero Llabata le vendredi 20 août 2010
Description mise à jour par Andrei Ivanes le jeudi 26 août 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.