Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Silly_P2P.H.18
La date de la découverte:18/05/2011
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:19.968 Octets
Somme de contrôle MD5:312df8a4b882c5650bf6d2bfdcafaa8a
Version VDF:7.11.08.60 - mercredi 18 mai 2011
Version IVDF:7.11.08.60 - mercredi 18 mai 2011

 Général Méthodes de propagation:
   • Fonctionnalité d'exécution automatique
   • Programme de messagerie


Les alias:
   •  Kaspersky: Trojan.Win32.Scar.dpxd
   •  F-Secure: Trojan.Win32.Scar.dpxd
   •  Bitdefender: Trojan.Scar.M
   •  GData: Trojan.Scar.M
   •  DrWeb: BackDoor.IRC.Bot.804


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %HOME%\Application Data\svchosts.exe
   • %lecteur%\SYSTEM.EXE



Le fichier suivant est créé:

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%




Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
   • %HOME%\Application Data\svchosts.exe /NEWSHIT

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Corp"="%HOME%\Application Data\svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Corp"="%HOME%\Application Data\svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "Microsoft Corp"="%HOME%\Application Data\svchosts.exe"

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– Windows Messenger

Le URL se rapporte alors à une copie du malware décrit. Si l'utilisateur télécharge et exécute ce fichier le procédé d'infection commencera encore.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: sku**********.info

 Informations divers Mutex:
Il crée le Mutex suivant:
   • Xhdhds7d6fjsdhjs32

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le jeudi 2 juin 2011
Description mise à jour par Petre Galan le jeudi 2 juin 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.