Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Yakes.ajw
La date de la découverte:29/06/2011
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:50.176 Octets
Somme de contrôle MD5:84912A4480E54ACC70D33084BA9C3A99
Version VDF:7.11.10.166 - mercredi 29 juin 2011
Version IVDF:7.11.10.166 - mercredi 29 juin 2011

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique


Les alias:
   •  Mcafee: W32/Autorun.worm.h
   •  Sophos: Mal/EncPk-AAG
   •  Microsoft: Worm:Win32/Autorun.ABO


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il crée des fichiers
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\svrwsc.exe



Le fichier suivant est créé:

%TEMPDIR%\Low%valeurs hexa%.tmp.bat Ce fichier séquentiel est employé pour effacer un fichier.

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\ControlSet001\Services\SvrWsc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\"%SYSDIR%\svrwsc.exe\""
   • "DisplayName"="Windows Security Center Service"
   • "ObjectName"="LocalSystem"
   • "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."



La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SvrWsc"=""

 Porte dérobée Serveur de contact:
Le suivant:
   • etrademone.**********/point/forum/index.php

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

 L'injection du code viral dans d'autres processus – Il s'injecte dans les processus en tant que fil distant.

    Tous les processus suivants:
   • explorer.exe
   • firefox.exe
   • iexplore.exe
   • msimn.exe
   • outlook.exe
   • rundll32.exe
   • services.exe
   • svchost.exe
   • userinit.exe
   • winlogon.exe

   En cas de succès, le processus malware se termine pendent que la partie injectée reste active.

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Ilie le jeudi 22 septembre 2011
Description mise à jour par Andrei Ilie le vendredi 30 septembre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.