Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:WORM/Autorun.LD.187
La date de la découverte:17/08/2011
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:126.976 Octets
Somme de contrôle MD5:16F902491090535D69774895FDE63BF4
Version VDF:7.11.13.117 - mercredi 17 août 2011
Version IVDF:7.11.13.117 - mercredi 17 août 2011

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique


Les alias:
   •  TrendMicro: Possible_Otorun8
   •  Sophos: Mal/SillyFDC-A
   •  Microsoft: Worm:Win32/Autorun.LD


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il crée des fichiers
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\SysSafe.exe
   • C:\info.exe

 Registre On ajoute une valeur à chaque clé de registre afin de lancer les processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe C:\info.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "B-A-I-D-U-C-O-M"="C:\info.exe"



Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\ControlSet001\Services\CryptSvc]
   • "Start"=dword:00000004



Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avp.exe]
   • "Debugger"="C:\info.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\taskmgr.exe]
   • "Debugger"="C:\info.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\rfwmain.exe]
   • "Debugger"="C:\info.exe"



Les clés de registre suivantes sont changées:

Différents réglages pour Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "Hidden"=dword:00000002

La page de démarrage d'Internet Explorer:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   La nouvelle valeur:
   • "Start Page"="http://www.baidu.com.cn/"

 L'injection du code viral dans d'autres processus – Il s'injecte dans les processus en tant que fil distant.

    Tous les processus suivants:
   • winlogon.exe
   • services.exe
   • userinit.exe
   • iexplore.exe
   • firefox.exe
   • msimn.exe
   • outlook.exe
   • explorer.exe
   • svchost.exe
   • rundll32.exe

   En cas de succès, le processus malware se termine pendent que la partie injectée reste active.

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Ilie le lundi 10 octobre 2011
Description mise à jour par Andrei Ilie le mardi 11 octobre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.