Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:WORM/AutoIt.psait
La date de la découverte:16/08/2011
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:305.653 Octets
Somme de contrôle MD5:00C5EA2728BC3860548053B5C62624E0
Version VDF:7.11.13.90 - mardi 16 août 2011
Version IVDF:7.11.13.90 - mardi 16 août 2011

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique


Les alias:
   •  Symantec: W32.SillyFDC
   •  TrendMicro: BKDR_PATCH.OJ
   •  Microsoft: Trojan:Win32/Malagent


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il crée un fichier
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • C:\system32\891249\154\2\4\52\34\5\5\2\34\5\234\5234\523452345\234\52345\23462\362\34\6523\452\346\234\52\345\24\624\36\234\62\346\2346\23\46\services.exe
   • C:\system\service.exe
   • C:\system32\system.com
   • C:\system32\cmd.com
   • C:\system32\ctfmon.com
   • C:\GoodNight\Fucking_Hero\file.com

 Registre La clé suivante est en permanence ajoutée aux registres, dans une boucle infinie, afin de lancer le processus après le redémarrage.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "system"="C:\system32\system.com"
   • "ctfmon.exe"="C:\system32\ctfmon.com"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\calc.exe]
   • "Debugger"="C:\system32\891249\154\2\4\52\34\5\5\2\34\5\234\5234\523452345\234\52345\23462\362\34\6523\452\346\234\52\345\24\624\36\234\62\346\2346\23\46\services.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
   • "DisableRegistryTools"=dword:00000001



Les clés de registre suivantes sont changées:

Différents réglages pour Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "Hidden"=dword:00000002

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • "NoFolderOptions"=dword:00000001
   • "NoDriveTypeAutoRun"=dword:0000005b

 Porte dérobée Serveur de contact:
Tous les suivants:
   • 67.215.77.**********:4600
   • 92.241.169.**********:4700


 Informations divers Anti debugging
Recherche la présence d'un débogueur ou d'une machine virtuelle à l'aide de techniques liées au temps.

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Andrei Ilie le jeudi 6 octobre 2011
Description mise à jour par Andrei Ilie le vendredi 7 octobre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.