Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Nuqel.BE.7
La date de la découverte:23/11/2011
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Taille du fichier:721745 Octets
Somme de contrôle MD5:759ca80274db9600865f98dd29ea7d5a
Version VDF:7.11.18.17 - mercredi 23 novembre 2011
Version IVDF:7.11.18.17 - mercredi 23 novembre 2011

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique


Les alias:
   •  Mcafee: W32/YahLover.worm.gen
   •  Kaspersky: Worm.Win32.AutoIt.dn
   •  Bitdefender: Win32.Worm.Sohanat.CK
   •  Grisoft: Dropper.Generic4.CAYF
   •  Eset: Win32/Autoit.EP.Gen worm
   •  GData: Win32.Worm.Sohanat.CK
   •  Norman: New unknown virus W32/Obfuscated.H!genr


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\gphone.exe
   • %WINDIR%\gphone.exe

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Yahoo Messengger"="c:\windows\\system32\\gphone.exe"



Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NofolderOptions"=dword:00000001

– HKLM\SYSTEM\ControlSet001\Services\Schedule
   • "AtTaskMaxHours"=dword:00000000

– HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings
   • "ProxyEnable"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
   • "Start Page"="http://rnd009.googlepages.com/google.html"



Les clés de registre suivantes sont changées:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   La nouvelle valeur:
   • "Shell"="Explorer.exe gphone.exe"

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
   L'ancienne valeur:
   • "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   • "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   • "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   La nouvelle valeur:
   • "Default_Page_URL"="http://rnd009.googlepages.com/google.html"
   • "Default_Search_URL"="http://rnd009.googlepages.com/google.html"
   • "Search Page"="http://rnd009.googlepages.com/google.html"

La page de démarrage d'Internet Explorer:

– HKCU\Software\Microsoft\Internet Explorer\Main
   L'ancienne valeur:
   • "Start Page"="about:blank"
   La nouvelle valeur:
   • "Start Page"="http://rnd009.googlepages.com/google.html"

 Informations divers Accède à des ressources Internet :
   • **********go.**********pages.com/setting.ini
   • **********cam.**********pages.com/setting.ini


Gestionnaire d’événements:
Il crée les gestionnaires d’événements suivants:
   • CloseServiceHandle
   • OpenSCManager
   • ReadProcessMemory
   • WriteProcessMemory
   • GetKeyState
   • GetAsyncKeyState
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • ShellExecute

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Wensin Lee le mercredi 30 mai 2012
Description mise à jour par Wensin Lee le mercredi 30 mai 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.