Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:WORM/Vobfus.A.154
La date de la découverte:14/06/2011
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Version VDF:7.11.09.168 - mardi 14 juin 2011
Version IVDF:7.11.09.168 - mardi 14 juin 2011

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique


Les alias:
   •  TrendMicro: WORM_VBNA.YRS
   •  Sophos: Mal/Behav-394
   •  Microsoft: Worm:Win32/Arhost


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il crée des fichiers
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %APPDATA%\%chaîne de caractères aléatoire%.exe



Le fichier suivant est créé:

– %APPDATA%\%chaîne de caractères aléatoire% Contient des paramètres employé par le malware

 Registre On ajoute une valeur à chaque clé de registre afin de lancer les processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "MSWUpdate"="\"%APPDATA%\%chaîne de caractères aléatoire%.exe\""

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MSWUpdate"="\"%APPDATA%\%chaîne de caractères aléatoire%.exe\""



La clé de registre suivante est ajoutée:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "C:\Documents and Settings\Use\Application Data\%chaîne de caractères aléatoire%.exe"="C:\Documents and Settings\Use\Application Data\%chaîne de caractères aléatoire%.exe:*:Enabled:CityScape"



La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • "Shell"="Explorer.exe \"%APPDATA%\%chaîne de caractères aléatoire%.exe\""

 Porte dérobée Serveur de contact:
Le suivant:
   • **********.no-ip.info:3177


 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • http://www.maxmind.com/app/locate_my_ip

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Ilie le mercredi 26 octobre 2011
Description mise à jour par Andrei Ilie le lundi 31 octobre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.