Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:WORM/Ainslot.A.1042
La date de la découverte:13/06/2011
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Taille du fichier:227.328 Octets
Somme de contrôle MD5:6F171DBAC99D8853115BD7505360FE79
Version VDF:7.11.09.166 - lundi 13 juin 2011
Version IVDF:7.11.09.166 - lundi 13 juin 2011

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Infostealer
   •  Mcafee: Ainslot.b
   •  Kaspersky: Trojan.Win32.Jorik.Shakblades.xy
   •  TrendMicro: WORM_JORIK.IW
   •  Microsoft: Worm:Win32/Ainslot.A


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il crée des fichiers
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\Directory\dllhost.exe
   • %APPDATA%\dllhost.exe



Le fichier suivant est créé:

– %APPDATA%\data.dat Contient des paramètres employé par le malware

 Registre On ajoute une valeur à chaque clé de registre afin de lancer les processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "dllhost"="%WINDIR%\Directory\dllhost.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "dllhost"="%WINDIR%\Directory\dllhost.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   run]
   • "dllhost.exe"="%APPDATA%\dllhost.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "dllhost.exe"="%APPDATA%\dllhost.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "dllhost.exe"="%APPDATA%\dllhost.exe"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {1BF4D6BD-B632-BAE4-28CC-0AEA5205A7BF}]
   • "StubPath"="%APPDATA%\dllhost.exe"

– [HKCU\Software\Microsoft\Active Setup\Installed Components\
   {1BF4D6BD-B632-BAE4-28CC-0AEA5205A7BF}]
   • "StubPath"="%APPDATA%\dllhost.exe"

 L'injection du code viral dans d'autres processus – Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Nom du processus:
   • explorer.exe


 Informations divers Accède à des ressources Internet :
   • charlatan.no-ip.biz

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Ilie le mercredi 27 juillet 2011
Description mise à jour par Andrei Ilie le jeudi 28 juillet 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.