Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:WORM/Roron.50.A
La date de la découverte:10/07/2003
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible
Version VDF:6.20.00.35 - jeudi 10 juillet 2003
Version IVDF:6.20.00.35 - jeudi 10 juillet 2003

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: W32/Oror.gen@MM virus
   •  Kaspersky: Email-Worm.Win32.Roron.50.a
   •  F-Secure: Email-Worm.Win32.Roron.50.a
   •  Sophos: W32/Oror-M
   •  Bitdefender: Win32.Roron.A@mm
   •  AVG: Worm/Opanki.AJ
   •  Panda: W32/Oror.Q
   •  Grisoft: I-Worm/Roron
   •  Eset: Win32/Roron.50.B worm
   •  Fortinet: suspicious
   •  Norman: Oror.AG


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %SYSDIR%\Syscnav_.def
   • %SYSDIR%\vancRun.vxd
   • %WINDIR%\cnav98.sys
   • %SYSDIR%\Syscnav_.def
   • %WINDIR%\Faith.ini

– Des fichiers qui peuvent être supprimés après:
   • %temp%/OAG3.tmp
   • %temp%/OAG4.tmp
   • %temp%/OAG5.tmp

%WINDIR%\Cmdcnav32.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
%PROGRAM FILES%\Common Files\Common16.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
%SYSDIR%\$winnt$.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre On ajoute une valeur à chaque clé de registre afin de lancer les processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%SYSDIR%\$winnt$.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Common StartUp"="%PROGRAM FILES%\Common Files\Common16.exe"
   • "LoadSystem"="Cmdcnav32.exe powrprof.dll,LoadCurrentPwrScheme"



Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SOFTWARE\Classes\exefile\shell\open\command]
   • "(Default)"="Cmdcnav32.exe "%1" %*"

– [HKCR\exefile\shell\open\command]
   • "(Default)"="Cmdcnav32.exe "%1" %*"

Description insérée par Wensin Lee le mardi 5 mars 2013
Description mise à jour par Wensin Lee le mardi 5 mars 2013

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.