Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:WORM/Taterf.D.199
La date de la découverte:24/06/2011
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:206.848 Octets
Somme de contrôle MD5:A81D74DD8169AC1EB0155AA652575525
Version VDF:7.11.10.84 - vendredi 24 juin 2011
Version IVDF:7.11.10.84 - vendredi 24 juin 2011

 Général Les alias:
   •  Kaspersky: Trojan.Win32.Agent2.doxm
   •  TrendMicro: Mal_Hiloti-2
   •  Microsoft: Worm:Win32/Taterf.D


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\arking.exe



Il supprime sa propre copie, exécutée initialement




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://www.**********dupxc.com/1mg/am.rar
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\arking0.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://www.**********duccf.com/1mg/am1.rar
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\arking1.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "King_ar"="%SYSDIR%\arking.exe"



La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="ghvudq.q"

 Arrêt de processus: Les processus avec une des chaînes de caractères suivantes sont terminés:
   • FilMsg
   • Twister
   • preupd
   • BitDefender
   • AVP.EXE
   • AVGNT
   • avast


 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus :
   • explorer.exe

   En cas de succès, le processus malware se termine pendent que la partie injectée reste active.

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec les logiciels de compression des exécutables suivants:
   • PolyEnE
   • UPX
   • ASPack

Description insérée par Andrei Ilie le mardi 25 octobre 2011
Description mise à jour par Andrei Ivanes le vendredi 28 octobre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.