English
Deutsch
Francais
Español
Italian
Accueil
Menaces
TR/Autoit.CI.14
Recherche
Accueil
Support
Solutions
Produits
Téléchargements
Menaces
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Société
Presse
Partenaires
Newsletter
TR/Autoit.CI.14 - Trojan
A voir aussi
Brève description
Description complète
Statistiques
How would you rate this information?
Worthless
Excellent
Nom:
TR/Autoit.CI.14
La date de la découverte:
13/06/2008
Type:
Cheval de Troie
En circulation:
Non
Infections signalées
Faible
Potentiel de distribution:
Faible
Potentiel de destruction:
Faible a moyen
Fichier statique:
Non
Taille du fichier:
~617.000 Octets
Version IVDF:
7.00.04.193
Général
Méthode de propagation:
• Il ne possède pas de propre routine de propagation
Les alias:
• Symantec: W32.Imaut
• Mcafee: W32/YahLover.worm virus
• Kaspersky: Trojan.Win32.Autoit.ci
• TrendMicro: WORM_DELF.FEA
• F-Secure: Trojan.Win32.Autoit.ci
• Sophos: Mal/Airworm-A
• Eset: Win32/Autoit.DB worm
Plateformes / Systèmes d'exploitation:
• Windows 96
• Windows 99
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effets secondaires:
• Il crée un fichier
• Il modifie des registres
Fichiers
Il s'autocopie dans les emplacements suivants:
•
%SYSDIR%
\regsvr.exe
•
%WINDIR%
\regsvr.exe
•
%SYSDIR%
\svchost .exe
Le fichier suivant est créé:
–
%SYSDIR%
\setup.ini Ceci est un fichier texte non malveillant avec le contenu suivant:
•
Registre
La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "Msn Messsenger"="
%SYSDIR%
\regsvr.exe"
Les clés de registre suivantes sont ajoutée:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
• "DisableTaskMgr"=dword:00000000
• "DisableRegistryTools"=dword:00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
WorkgroupCrawler\Shares]
• "shared"="\New Folder .exe"
– [HKLM\SYSTEM\ControlSet001\Services\Schedule]
• "AtTaskMaxHours"=dword:00000000
Les clés de registre suivantes sont changées:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
L'ancienne valeur:
• "Shell"="Explorer.exe"
La nouvelle valeur:
• "Shell"="Explorer.exe regsvr.exe"
Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
La nouvelle valeur:
• "NofolderOptions"=dword:00000000
Détails de fichier
Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• ASPack
Voir la description brève
ici
.
Description inséré par Thomas Wegele sur Tue, 29 Jul 2008 08:22 (GMT+1)
Description mise à jour par Thomas Wegele sur Tue, 29 Jul 2008 14:18 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Retour
Imprimer cette page
Worm/Mytob.AD
TR/Crypt.CFI.Gen
Worm/Klez.E
W32/Elkern.C
Worm/Lovgate.W
TR/Dldr.Renos.CH
TR/Buzus.iij
TR/Dldr.Banload.ins
TR/Banker.Banker.acdq
TR/Dldr.AutoRun.T.2
© 2009 Avira GmbH
Copyright
Domaine privé
Plan du site
Feedback
Marque d’impression
FAQ
Contact
Menaces TR/Autoit.CI.14
Imprimer cette page
