Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Yakes.li
La date de la dcouverte:14/06/2011
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:51.200 Octets
Somme de contrle MD5:A5423C14D3E1BD10791A7B1DA79AE8F5
Version VDF:7.11.09.168 - mardi 14 juin 2011
Version IVDF:7.11.09.168 - mardi 14 juin 2011

 Gnral Mthode de propagation:
    Fonctionnalit d'excution automatique


Les alias:
   •  Mcafee: W32/Autorun.worm.h
   •  Kaspersky: Trojan.Win32.Yakes.li
     Microsoft: Worm:Win32/Autorun.ABO


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effets secondaires:
   • Il facilite l'accs non autoris l'ordinateur
   • Il cre des fichiers
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\svrwsc.exe



Le fichier suivant est cr:

%TEMPDIR%\Low%valeurs hexa%.tmp.bat Ce fichier squentiel est employ pour effacer un fichier.

 Registre On ajoute une des valeurs suivantes afin de lancer le processus aprs le redmarrage:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SvrWsc"=""



Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

[HKLM\SYSTEM\ControlSet001\Services\SvrWsc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\"%SYSDIR%\svrwsc.exe\""
   • "DisplayName"="Windows Security Center Service"
   • "ObjectName"="LocalSystem"
   • "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."

 Porte drobe Serveur de contact:
Le suivant:
   • etrademone.**********/point/forum/index.php

En consquence il peut envoyer de l'information et fournir d'accs distance.

 L'injection du code viral dans d'autres processus  Il s'injecte dans les processus en tant que fil distant.

    Tous les processus suivants:
   • explorer.exe
   • firefox.exe
   • iexplore.exe
   • msimn.exe
   • outlook.exe
   • rundll32.exe
   • services.exe
   • svchost.exe
   • userinit.exe
   • winlogon.exe

   En cas de succs, le processus malware se termine pendent que la partie injecte reste active.

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Andrei Ilie le lundi 1 août 2011
Description mise à jour par Andrei Ilie le mercredi 3 août 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.