Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Nuqel.BE.7
La date de la dcouverte:23/11/2011
Type:Ver
En circulation:Non
Infections signales Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Taille du fichier:721745 Octets
Somme de contrle MD5:759ca80274db9600865f98dd29ea7d5a
Version VDF:7.11.18.17 - mercredi 23 novembre 2011
Version IVDF:7.11.18.17 - mercredi 23 novembre 2011

 Gnral Mthode de propagation:
    Fonctionnalit d'excution automatique


Les alias:
   •  Mcafee: W32/YahLover.worm.gen
   •  Kaspersky: Worm.Win32.AutoIt.dn
   •  Bitdefender: Win32.Worm.Sohanat.CK
   •  Grisoft: Dropper.Generic4.CAYF
   •  Eset: Win32/Autoit.EP.Gen worm
     GData: Win32.Worm.Sohanat.CK
     Norman: New unknown virus W32/Obfuscated.H!genr


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effets secondaires:
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\gphone.exe
   • %WINDIR%\gphone.exe

 Registre On ajoute une des valeurs suivantes afin de lancer le processus aprs le redmarrage:

  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Yahoo Messengger"="c:\windows\\system32\\gphone.exe"



Les cls de registre suivantes sont ajoutes afin de charger les services aprs le redmarrage:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NofolderOptions"=dword:00000001

HKLM\SYSTEM\ControlSet001\Services\Schedule
   • "AtTaskMaxHours"=dword:00000000

HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings
   • "ProxyEnable"=dword:00000000

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
   • "Start Page"="http://rnd009.googlepages.com/google.html"



Les cls de registre suivantes sont changes:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   La nouvelle valeur:
   • "Shell"="Explorer.exe gphone.exe"

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
   L'ancienne valeur:
   • "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   • "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   • "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   La nouvelle valeur:
   • "Default_Page_URL"="http://rnd009.googlepages.com/google.html"
   • "Default_Search_URL"="http://rnd009.googlepages.com/google.html"
   • "Search Page"="http://rnd009.googlepages.com/google.html"

La page de dmarrage d'Internet Explorer:

HKCU\Software\Microsoft\Internet Explorer\Main
   L'ancienne valeur:
   • "Start Page"="about:blank"
   La nouvelle valeur:
   • "Start Page"="http://rnd009.googlepages.com/google.html"

 Informations divers Accde des ressources Internet:
   • **********go.**********pages.com/setting.ini
   • **********cam.**********pages.com/setting.ini


Gestionnaire de?ve?nements:
Il cre?e les gestionnaires de?ve?nements suivants:
   • CloseServiceHandle
   • OpenSCManager
   • ReadProcessMemory
   • WriteProcessMemory
   • GetKeyState
   • GetAsyncKeyState
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • ShellExecute

 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Wensin Lee le mercredi 30 mai 2012
Description mise à jour par Wensin Lee le mercredi 30 mai 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.