Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:WORM/Autorun.LD.187
La date de la dcouverte:17/08/2011
Type:Ver
En circulation:Non
Infections signales Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:126.976 Octets
Somme de contrle MD5:16F902491090535D69774895FDE63BF4
Version VDF:7.11.13.117 - mercredi 17 août 2011
Version IVDF:7.11.13.117 - mercredi 17 août 2011

 Gnral Mthode de propagation:
    Fonctionnalit d'excution automatique


Les alias:
   •  TrendMicro: Possible_Otorun8
   •  Sophos: Mal/SillyFDC-A
     Microsoft: Worm:Win32/Autorun.LD


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effets secondaires:
   • Il facilite l'accs non autoris l'ordinateur
   • Il cre des fichiers
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\SysSafe.exe
   • C:\info.exe

 Registre On ajoute une valeur chaque cl de registre afin de lancer les processus aprs le redmarrage:

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe C:\info.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "B-A-I-D-U-C-O-M"="C:\info.exe"



Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

[HKLM\SYSTEM\ControlSet001\Services\CryptSvc]
   • "Start"=dword:00000004



Les cls de registre suivantes sont ajoute:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avp.exe]
   • "Debugger"="C:\info.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\taskmgr.exe]
   • "Debugger"="C:\info.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\rfwmain.exe]
   • "Debugger"="C:\info.exe"



Les cls de registre suivantes sont changes:

Diffrents rglages pour Explorer:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "Hidden"=dword:00000002

La page de dmarrage d'Internet Explorer:

[HKCU\Software\Microsoft\Internet Explorer\Main]
   La nouvelle valeur:
   • "Start Page"="http://www.baidu.com.cn/"

 L'injection du code viral dans d'autres processus  Il s'injecte dans les processus en tant que fil distant.

    Tous les processus suivants:
   • winlogon.exe
   • services.exe
   • userinit.exe
   • iexplore.exe
   • firefox.exe
   • msimn.exe
   • outlook.exe
   • explorer.exe
   • svchost.exe
   • rundll32.exe

   En cas de succs, le processus malware se termine pendent que la partie injecte reste active.

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Andrei Ilie le lundi 10 octobre 2011
Description mise à jour par Andrei Ilie le mardi 11 octobre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.