TR/Autorun.aad - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Autorun.aad
La date de la découverte:	13/12/2007
Type:	Cheval de Troie
En circulation:	Oui
Infections signalées	Faible a moyen
Potentiel de distribution:	Faible a moyen
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	229.489 Octets
Somme de contrôle MD5:	65d52f063bca0Deff652424c9e359675
Version IVDF:	7.00.01.88

Général Méthode de propagation:
   • Mapped network drives

Les alias:
   • Mcafee: W32/Autorun.worm.g
   • Kaspersky: Virus.Win32.AutoRun.abt
   • F-Secure: Virus.Win32.AutoRun.abt
   • Grisoft: Worm/Autoit.GE
   • Eset: Win32/Sohanad.NBT

Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers
   • Il modifie des registres

Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\xmss.exe
   • %WINDIR%\Funny UST Scandal.exe
   • :\xmss.exe
   • :\Funny UST Scandal.exe

Les fichiers suivants sont créés:

– %WINDIR%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

– :\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

Registre Les clés de registre suivantes sont changées:

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • Shell = explorer.exe
   La nouvelle valeur:
   • Shell = explorer.exe, xmss.exe

– [HKCR\.vbs]
   L'ancienne valeur:
   • (Default) = vbsfile
   La nouvelle valeur:
   • (Default) = exefile

– [HKCR\.reg]
   L'ancienne valeur:
   • (Default) = regfile
   La nouvelle valeur:
   • (Default) = exefile

Différents réglages pour Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   L'ancienne valeur:
   • CheckedValue = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • CheckedValue = 0

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   L'ancienne valeur:
   • NoDriveTypeAutoRun = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • NoDriveTypeAutoRun = ff

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Andrei Gherman sur Tue, 08 Jan 2008 08:49 (GMT+1)
Description mise à jour par Andrei Gherman sur Tue, 08 Jan 2008 08:54 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour