Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:VBS/Autorun.l2
La date de la dcouverte:23/01/2008
Type:Cheval de Troie
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:6.053 Octets
Somme de contrle MD5:153e90f0ca2a0de93da62e6789c91f22
Version IVDF:7.00.02.35 - mercredi 23 janvier 2008

 Gnral Mthode de propagation:
    Autorun feature (fr)


Les alias:
   •  Mcafee: VBS/Autorun.worm.au
   •  Sophos: W32/Autorun-AWJ
   •  Panda: VBS/Autorun.EB
   •  Eset: VBS/AutoRun.L
   •  Bitdefender: Trojan.VBS.Autorun.ACS


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre des fichiers malveillants
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • \UserConfig.vbs



Il supprime les fichiers suivants:
   • %TEMPDIR%\username.bat
   • %TEMPDIR%\username.txt
   • %SYSDIR%\username.txt
   • %TEMPDIR%\TempCmd.cmd
   • %TEMPDIR%\TempReg.reg



Les fichiers suivants sont crs:

%TEMPDIR%\TempReg.reg Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

%SYSDIR%\username.txt
\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

%TEMPDIR%\username.txt
%TEMPDIR%\username.bat Ensuite, il est excut aprs avoir t completment cre.
%TEMPDIR%\TempCmd.cmd Ensuite, il est excut aprs avoir t completment cre.



Il essaie dexcuter les fichiers suivants :

Nom de fichier: Noms des fichiers:
   • cmd /c ""C:\Temp\TempCmd.cmd" "


Nom de fichier: Noms des fichiers:
   • regedit /s C:\Temp\TempReg.reg


Nom de fichier: Noms des fichiers:
   • cmd /c ""C:\Temp\username.bat" "

 Registre On ajoute une des valeurs suivantes afin de lancer le processus aprs le redmarrage:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RunUserConfig"="%TEMPDIR%\UserConfig.vbs"



La cl de registre suivante est change:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "ShowSuperHidden"=dword:0x00000000

Description insérée par Petre Galan le jeudi 1 avril 2010
Description mise à jour par Petre Galan le jeudi 1 avril 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.