Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:DR/Autoit.YH.331
La date de la dcouverte:24/08/2010
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:570.044 Octets
Somme de contrle MD5:8c78dc19db83e8ad55eb4a8732476d57
Version VDF:7.10.04.195
Version IVDF:7.10.11.04 - mardi 24 août 2010

 Gnral Mthodes de propagation:
    Fonctionnalit d'excution automatique
   • Peer to Peer


Les alias:
   •  Mcafee: W32/Autorun.worm.zf.gen
   •  Sophos: W32/AutoIt-LA
   •  Bitdefender: Trojan.Autoit.ALR
   •  Panda: Trj/Autoit.gen
   •  Eset: Win32/Tifaut.D


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre des fichiers malveillants
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %lecteur%\alokium.exe
   • %SYSDIR%\csrcs.exe



Il supprime les fichiers suivants:
   • %TEMPDIR%\nonrlim
   • %TEMPDIR%\jicnohr
   • %TEMPDIR%\aut%nombre%.tmp



Les fichiers suivants sont crs:

%lecteur%\Autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%TEMPDIR%\nonrlim
%TEMPDIR%\aut%nombre%.tmp
%TEMPDIR%\jicnohr



Il essaie dexcuter le fichier suivant :

Nom de fichier: Noms des fichiers:
   • %SYSDIR%\csrcs.exe

 Registre Les cls de registre suivantes sont ajoutes afin d'excuter des processus aprs le redmarrage:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



La cl de registre suivante est ajoute:

[HKLM\Software\Microsoft\DRM\amty]
   • "ilop"="1"



Les cls de registre suivantes sont changes:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • "Shell"="Explorer.exe csrcs.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   La nouvelle valeur:
   • "CheckedValue"=dword:0x00000001

 P2P Afin d'infecter d'autres systmes d'exploitation dans la communaut en rseau peer-to-peer, l'action suivante est entreprise:   Il recherche les dossiers partags en questionnant les cls de registre suivantes :
   • HKCU\Software\Shareaza\Shareaza
   • HKLM\SOFTWARE\LimeWire
   • HKCU\Software\Kazaa\LocalContent
   • HKLM\SOFTWARE\DC++
   • HKCU\Software\eMule
   • HKCU\Software\Ares


 Informations divers  Il vrifie l'existence d'une connexion Internet en contactant le site web suivant:
   • http://www.whatismyip.com/automation/n09230945.asp
Accde des ressources Internet:
   • http://suse.extasix.com/**********
   • http://www.5eb149c0.com/**********
   • http://wre.extasix.com/**********


Mutex:
Il cre le Mutex suivant:
   • df8g1sdf68g18er1g8re16

 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Petre Galan le vendredi 4 février 2011
Description mise à jour par Petre Galan le vendredi 4 février 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.