Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:WORM/AutoIt.psait
La date de la dcouverte:16/08/2011
Type:Ver
En circulation:Non
Infections signales Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:305.653 Octets
Somme de contrle MD5:00C5EA2728BC3860548053B5C62624E0
Version VDF:7.11.13.90 - mardi 16 août 2011
Version IVDF:7.11.13.90 - mardi 16 août 2011

 Gnral Mthode de propagation:
    Fonctionnalit d'excution automatique


Les alias:
   •  Symantec: W32.SillyFDC
   •  TrendMicro: BKDR_PATCH.OJ
     Microsoft: Trojan:Win32/Malagent


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effets secondaires:
   • Il cre un fichier
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • C:\system32\891249\154\2\4\52\34\5\5\2\34\5\234\5234\523452345\234\52345\23462\362\34\6523\452\346\234\52\345\24\624\36\234\62\346\2346\23\46\services.exe
   • C:\system\service.exe
   • C:\system32\system.com
   • C:\system32\cmd.com
   • C:\system32\ctfmon.com
   • C:\GoodNight\Fucking_Hero\file.com

 Registre La cl suivante est en permanence ajoute aux registres, dans une boucle infinie, afin de lancer le processus aprs le redmarrage.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "system"="C:\system32\system.com"
   • "ctfmon.exe"="C:\system32\ctfmon.com"



Les cls de registre suivantes sont ajoute:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\calc.exe]
   • "Debugger"="C:\system32\891249\154\2\4\52\34\5\5\2\34\5\234\5234\523452345\234\52345\23462\362\34\6523\452\346\234\52\345\24\624\36\234\62\346\2346\23\46\services.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
   • "DisableRegistryTools"=dword:00000001



Les cls de registre suivantes sont changes:

Diffrents rglages pour Explorer:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "Hidden"=dword:00000002

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • "NoFolderOptions"=dword:00000001
   • "NoDriveTypeAutoRun"=dword:0000005b

 Porte drobe Serveur de contact:
Tous les suivants:
   • 67.215.77.**********:4600
   • 92.241.169.**********:4700


 Informations divers Anti debugging
Recherche la prsence d'un dbogueur ou d'une machine virtuelle l'aide de techniques lies au temps.

 Dtails de fichier Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • UPX

Description insérée par Andrei Ilie le jeudi 6 octobre 2011
Description mise à jour par Andrei Ilie le vendredi 7 octobre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.