Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Rorpian.A.1
La date de la découverte:28/03/2011
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:55.304 Octets
Somme de contrôle MD5:1faaa1016cf9b2454dc9bb45c90a6e68
Version VDF:7.11.05.88 - lundi 28 mars 2011
Version IVDF:7.11.05.88 - lundi 28 mars 2011

 Général Les alias:
   •  Bitdefender: Trojan.Generic.5713045
   •  Eset: Win32/AutoRun.Agent.ABH
   •  GData: Trojan.Generic.5713045


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %TEMPDIR%\srv%chaîne de caractères aléatoire%.tmp

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   srv%chaîne de caractères aléatoire%]
   • "DisplayName"="srv%chaîne de caractères aléatoire%"
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="%systemroot%\system32\svchost.exe -k netsvcs"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Les clés de registre suivantes sont ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   srv%chaîne de caractères aléatoire%\parameters]
   • "servicedll"="\\?\globalroot\Device\HarddiskVolume1\%TEMPDIR%\srv%chaîne de caractères aléatoire%.tmp"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   srv%chaîne de caractères aléatoire%]
   • "@"="service"



La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   La nouvelle valeur:
   • "netsvcs"=hex:36,74,6F,34,00,41,70,70,4D,67,6D,74,00,41,75,64,69,6F,53,72,76,00,42,72,6F,77,73,65,72,00,43,72,79,70,74,53,76,63,00,44,4D,53,65,72,76,65,72,00,44,48,43,50,00,45,76,65,6E,74,53,79,73,74,65,6D,00,46,61,73,74,55,73,65,72,53,77,69,74,63,68,69,6E,67,43,6F,6D,70,61,74,69,62,69,6C,69,74,79,00,48,69,64,53,65,72,76,00,49,61,73,00,49,70,72,69,70,00,49,72,6D,6F,6E,00,4C,61,6E,6D,61,6E,53,65,72,76,65,72,00,4C,61,6E,6D,61,6E,57,6F,72,6B,73,74,61,74,69,6F,6E,00,4E,65,74,6D,61,6E,00,4E,6C,61,00,4E,57,43,57,6F,72,6B,73,74,61,74,69,6F,6E,00,4E,77,73,61,70,61,67,65,6E,74,00,52,61,73,61,75,74,6F,00,52,61,73,6D,61,6E,00,52,65,6D,6F,74,65,61,63,63,65,73,73,00,53,63,68,65,64,75,6C,65,00,53,65,63,6C,6F,67,6F,6E,00,53,45,4E,53,00,53,68,61,72,65,64,61,63,63,65,73,73,00,53,52,53,65,72,76,69,63,65,00,54,61,70,69,73,72,76,00,54,68,65,6D,65,73,00,54,72,6B,57,6B,73,00,57,33,32,54,69,6D,65,00,57,5A,43,53,56,43,00,57,6D,69,00,57,6D,64,6D,50,6D,53,70,00,77,69,6E,6D,67,6D,74,00,78,6D,6C,70,72,6F,76,00,6E,61,70,61,67,65,6E,74,00,68,6B,6D,73,76,63,00,42,49,54,53,00,77,75,61,75,73,65,72,76,00,53,68,65,6C,6C,48,57,44,65,74,65,63,74,69,6F,6E,00,00

 Informations divers Accède à des ressources Internet :
   • http://188.138.48.178//**********
   • http://89.149.244.24/daemon/**********?action_id=%chaîne de caractères%&code=%nombre%
   • http://188.138.48.178//**********
   • http://188.138.48.178/service/scripts/files/**********
   • http://188.138.48.173/soft/**********?buildid=%nombre%

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le mercredi 15 juin 2011
Description mise à jour par Petre Galan le jeudi 16 juin 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.