Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:DR/Autoit.YH.331
La date de la découverte:24/08/2010
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:570.044 Octets
Somme de contrôle MD5:8c78dc19db83e8ad55eb4a8732476d57
Version VDF:7.10.04.195
Version IVDF:7.10.11.04 - mardi 24 août 2010

 Général Méthodes de propagation:
   • Fonctionnalité d'exécution automatique
   • Peer to Peer


Les alias:
   •  Mcafee: W32/Autorun.worm.zf.gen
   •  Sophos: W32/AutoIt-LA
   •  Bitdefender: Trojan.Autoit.ALR
   •  Panda: Trj/Autoit.gen
   •  Eset: Win32/Tifaut.D


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %lecteur%\alokium.exe
   • %SYSDIR%\csrcs.exe



Il supprime les fichiers suivants:
   • %TEMPDIR%\nonrlim
   • %TEMPDIR%\jicnohr
   • %TEMPDIR%\aut%nombre%.tmp



Les fichiers suivants sont créés:

%lecteur%\Autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%TEMPDIR%\nonrlim
%TEMPDIR%\aut%nombre%.tmp
%TEMPDIR%\jicnohr



Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\csrcs.exe

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



La clé de registre suivante est ajoutée:

– [HKLM\Software\Microsoft\DRM\amty]
   • "ilop"="1"



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • "Shell"="Explorer.exe csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   La nouvelle valeur:
   • "CheckedValue"=dword:0x00000001

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:   Il recherche les dossiers partagés en questionnant les clés de registre suivantes :
   • HKCU\Software\Shareaza\Shareaza
   • HKLM\SOFTWARE\LimeWire
   • HKCU\Software\Kazaa\LocalContent
   • HKLM\SOFTWARE\DC++
   • HKCU\Software\eMule
   • HKCU\Software\Ares


 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • http://www.whatismyip.com/automation/n09230945.asp
Accède à des ressources Internet :
   • http://suse.extasix.com/**********
   • http://www.5eb149c0.com/**********
   • http://wre.extasix.com/**********


Mutex:
Il crée le Mutex suivant:
   • df8g1sdf68g18er1g8re16

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le vendredi 4 février 2011
Description mise à jour par Petre Galan le vendredi 4 février 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.