Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Autorun.YD
La date de la découverte:19/05/2009
Type:Ver
En circulation:Non
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Non
Version VDF:7.01.03.226
Version IVDF:7.01.03.229 - mardi 19 mai 2009

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique


Les alias:
   •  Microsoft: Worm:Win32/Nabony.A
   •  Eset: Win32/AutoRun.Agent.YD


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il crée des fichiers
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %HOME%\Application Data\readere_lm.com
   • %SYSDIR%\acrobat.com
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\CD_RW.exe



Les fichiers suivants sont créés:

– %HOME%\Local Settings\Application Data\Microsoft\CD Burning\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

– %HOME%\Application Data\dbf.ltb Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

 Registre On ajoute une valeur à chaque clé de registre afin de lancer les processus après le redémarrage:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "updater"="%HOME%\Application Data\readere_lm.com"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "updater"="%SYSDIR%\acrobat.com"



La clé de registre suivante est ajoutée:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL
   • "CheckedValue"=dword:00000000



La clé de registre suivante est changée:

Différents réglages pour Explorer:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   L'ancienne valeur:
   • "Hidden"=dword:00000002
   La nouvelle valeur:
   • "Hidden"=dword:00000000

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • PE Pack 1.0


Chiffrement :
Crypté – Le code du virus à l'intérieur du fichier contaminé est crypté.

Description insérée par Ana Maria Niculescu le jeudi 5 avril 2012
Description mise à jour par Andrei Gherman le jeudi 5 avril 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.