Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:WORM/Roron.50.A
La date de la dcouverte:10/07/2003
Type:Ver
En circulation:Non
Infections signales Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Version VDF:6.20.00.35 - jeudi 10 juillet 2003
Version IVDF:6.20.00.35 - jeudi 10 juillet 2003

 Gnral Mthode de propagation:
   • Il ne possde pas de propre routine de propagation


Les alias:
   •  Mcafee: W32/Oror.gen@MM virus
   •  Kaspersky: Email-Worm.Win32.Roron.50.a
   •  F-Secure: Email-Worm.Win32.Roron.50.a
   •  Sophos: W32/Oror-M
   •  Bitdefender: Win32.Roron.A@mm
     AVG: Worm/Opanki.AJ
   •  Panda: W32/Oror.Q
   •  Grisoft: I-Worm/Roron
   •  Eset: Win32/Roron.50.B worm
     Fortinet: suspicious
     Norman: Oror.AG


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effets secondaires:
   • Il cre des fichiers malveillants
   • Il modifie des registres

 Fichiers Les fichiers suivants sont crs:

Fichiers inoffensifs:
   • %SYSDIR%\Syscnav_.def
   • %SYSDIR%\vancRun.vxd
   • %WINDIR%\cnav98.sys
   • %SYSDIR%\Syscnav_.def
   • %WINDIR%\Faith.ini

– Des fichiers qui peuvent tre supprims aprs:
   • %temp%/OAG3.tmp
   • %temp%/OAG4.tmp
   • %temp%/OAG5.tmp

%WINDIR%\Cmdcnav32.exe Ensuite, il est excut aprs avoir t completment cre. Les investigations ultrieures ont prouv que ce ficher est galement un Malware.
%PROGRAM FILES%\Common Files\Common16.exe Ensuite, il est excut aprs avoir t completment cre. Les investigations ultrieures ont prouv que ce ficher est galement un Malware.
%SYSDIR%\$winnt$.exe Ensuite, il est excut aprs avoir t completment cre. Les investigations ultrieures ont prouv que ce ficher est galement un Malware.

 Registre On ajoute une valeur chaque cl de registre afin de lancer les processus aprs le redmarrage:

  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%SYSDIR%\$winnt$.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Common StartUp"="%PROGRAM FILES%\Common Files\Common16.exe"
   • "LoadSystem"="Cmdcnav32.exe powrprof.dll,LoadCurrentPwrScheme"



Les cls de registre suivantes sont ajoutes afin de charger les services aprs le redmarrage:

[HKLM\SOFTWARE\Classes\exefile\shell\open\command]
   • "(Default)"="Cmdcnav32.exe "%1" %*"

[HKCR\exefile\shell\open\command]
   • "(Default)"="Cmdcnav32.exe "%1" %*"

Description insérée par Wensin Lee le mardi 5 mars 2013
Description mise à jour par Wensin Lee le mardi 5 mars 2013

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.