Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Autorun.YD
La date de la dcouverte:19/05/2009
Type:Ver
En circulation:Non
Infections signales Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Non
Version VDF:7.01.03.226
Version IVDF:7.01.03.229 - mardi 19 mai 2009

 Gnral Mthode de propagation:
    Fonctionnalit d'excution automatique


Les alias:
     Microsoft: Worm:Win32/Nabony.A
   •  Eset: Win32/AutoRun.Agent.YD


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effets secondaires:
   • Il cre des fichiers
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %HOME%\Application Data\readere_lm.com
   • %SYSDIR%\acrobat.com
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\CD_RW.exe



Les fichiers suivants sont crs:

%HOME%\Local Settings\Application Data\Microsoft\CD Burning\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

%HOME%\Application Data\dbf.ltb Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

 Registre On ajoute une valeur chaque cl de registre afin de lancer les processus aprs le redmarrage:

  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "updater"="%HOME%\Application Data\readere_lm.com"

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "updater"="%SYSDIR%\acrobat.com"



La cl de registre suivante est ajoute:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL
   • "CheckedValue"=dword:00000000



La cl de registre suivante est change:

Diffrents rglages pour Explorer:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   L'ancienne valeur:
   • "Hidden"=dword:00000002
   La nouvelle valeur:
   • "Hidden"=dword:00000000

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • PE Pack 1.0


Chiffrement:
Crypt Le code du virus l'intrieur du fichier contamin est crypt.

Description insérée par Ana Maria Niculescu le jeudi 5 avril 2012
Description mise à jour par Andrei Gherman le jeudi 5 avril 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.