Nom:Worm/AutoIt.YH
La date de la découverte:18/08/2010
Type:Ver
Sous type:Downloader
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:641.728 Octets
Somme de contrôle MD5:a52344dbf51069a071bd6cf719ff8ddf
Version IVDF:7.10.10.208 - mercredi 18 août 2010

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Worm.Win32.AutoIt.yh
   •  Avast: AutoIt:Balero-C
   •  Panda: Trj/CI.A
   •  DrWeb: Win32.HLLW.Autoruner.based
   •  Ikarus: Worm.Win32.AutoIt


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il crée des fichiers
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\csrcs.exe
   • %SYSDIR%\%chaîne de caractères aléatoire%.exe
   • c:\%repertoire actuel%\%chaîne de caractères aléatoire%.exe



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

– Des fichiers qui peuvent être supprimés après:
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\%chaîne de caractères aléatoire%
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\%chaîne de caractères aléatoire%

– c:\%repertoire actuel%\s.cmd Ensuite, il est exécuté après avoir été completment crée. Ceci est un fichier texte non malveillant qui contient d'information au sujet de soi-même.



Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://fl**********.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\RegShellSM.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé.

– L'emplacement est le suivant:
   • http://9**********.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\ip.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé.

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "csrcs"="%SYSDIR%\csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002
   • "SuperHidden"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"=dword:00000001



Les clés de registre suivantes sont ajoutée:

– [HKLM\Software\Microsoft\DRM\amty]
   • "ilop"="1"
   • "fix"=""
   • "fix1"="1"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Carlos Valero Llabata le vendredi 20 août 2010
Description mise à jour par Andrei Ivanes le jeudi 26 août 2010

Retour . . . .