Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/AutoIt.AF
La date de la découverte:16/07/2010
Type:Ver
En circulation:Non
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:222.092 Octets
Somme de contrôle MD5:d84a73bdde2ef478a5efd90af5c857e3
Version VDF:7.10.04.21
Version IVDF:7.10.09.108 - vendredi 16 juillet 2010

 Général Méthodes de propagation:
   • Fonctionnalité d'exécution automatique
   • Programme de messagerie


Les alias:
   •  F-Secure: Gen:Trojan.Heur.nmMfrzSTdNgib
   •  Bitdefender: Gen:Trojan.Heur.nmMfrzSTdNgib
   •  GData: Gen:Trojan.Heur.nmMfrzSTdNgib
   •  DrWeb: Win32.HLLW.Texmer.51


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\SSVICHOSST.exe
   • %lecteur%\SSVICHOSST.exe
   • %SYSDIR%\SSVICHOSST.exe



Les fichiers suivants sont créés:

%SYSDIR%\autorun.ini
%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%




Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\cmd.exe /C AT /delete /yes


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\SSVICHOSST.exe

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Yahoo Messengger"="%SYSDIR%\SSVICHOSST.exe"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "AtTaskMaxHours"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • "shared"="\New Folder.exe"

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– Yahoo Messenger


Message
Le message envoyé ressemble à un des suivants:

   • ang Web nay coi cung hay, vao coi thu di http://nhatquanglan1.0catch.com
     may, vao day coi co con nho nay ngon lam http://nhatquanglan1.0catch.com
     o day nghe bai nay di ban http://nhatquanglan1.0catch.com

 Informations divers Accède à des ressources Internet :
   • http://nhatquanglan3.t3**********.com
   • http://nhatquanglan4.t3**********.com

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Wensin Lee le lundi 16 avril 2012
Description mise à jour par Wensin Lee le lundi 16 avril 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.