Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Autorun.qva
La date de la découverte:27/02/2009
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:10.240 Octets
Somme de contrôle MD5:3e2cd56a033362351b7470abe87a4983
Version IVDF:7.01.02.91 - vendredi 27 février 2009

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique


Les alias:
   •  Sophos: Mal/SillyFDC-A
   •  Bitdefender: Worm.Generic.48237
   •  Panda: W32/Autorun.KNM
   •  GData: Worm.Generic.48237


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %lecteur%\icondrv.exe
   • %SYSDIR%\icondrv.exe



Il supprime le fichier suivant:
   • %TEMPDIR%\-= The Porn Collection =-\_arc.exe



Le fichier suivant est créé:

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://gpt0.ru/bmp/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\icondrv2.exe

– L'emplacement est le suivant:
   • http://gpt0.ru/bmp/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\-= The Porn Collection =-\_arc.exe

– L'emplacement est le suivant:
   • http://gpt0.ru/bmp/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %TEMPDIR%\personalizationink.exe



Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\icondrv.exe


– Nom de fichier: Noms des fichiers:
   • "%SYSDIR%\ntvdm.exe" -f -i1


– Nom de fichier: Noms des fichiers:
   • "%SYSDIR%\ntvdm.exe" -f -i2

 Registre La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\icondrv.exe"

 Regtest (fr) 
 The folowing operation is done to the registry: (fr) 


Changed registry entry: (fr)
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\icondrv.exe"

 Informations divers Accède à des ressources Internet :
   • http://brbg.ru/bmp/**********
   • http://brbg.ru/bmp/**********
   • http://brbg.ru/bmp/**********

Description insérée par Petre Galan le vendredi 1 avril 2011
Description mise à jour par Petre Galan le vendredi 1 avril 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.