Laboratoire antivirus Avira

‹ Retour

DR/AutoIt.oznf

Brève description
  • Nom
    DR/AutoIt.oznf
  • La date de la découverte
    26 juin 2016
  • Version VDF
    7.12.101.52 (2016-06-25 10:13)
Description complète

Le terme « DR » désigne un programme capable de déposer de façon autonome un virus ou un logiciel malveillant sur un système.

Méthode de propagation : le fichier ne se propage pas.

Ce fichier peut être utilisé par des escrocs ou des logiciels malveillants pour diminuer les paramètres de sécurité.

  • VDF
    7.12.101.52 (2016-06-25 10:13)
  • Fichiers
    Les fichiers suivants sont créés:
    • %DISKDRIVE%\run\License.txt
    • %DISKDRIVE%\run\Profiles\profile.ini
  • Injections
    • %WINDIR%\System32\svchost.exe{<-\ThemeApiPort}
    • %SYSDIR%\lsass.exe{<-\LsaAuthenticationPort}
    • %SYSDIR%\services.exe{<-\RPC Control\ntsvcs}
    • %SYSDIR%\svchost.exe{<-\RPC Control\DNSResolver}
  • Registre
    Les entrées de registre suivantes sont modifiées:
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "GlobalUserOffline" = dword:00000000 "MigrateProxy" = dword:00000001 "ProxyEnable" = dword:00000000 ProxyServer = - ProxyOverride = - AutoConfigURL = -
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher] "TracesProcessed" = dword:0000000d "TracesSuccessful" = dword:0000000a "LastTraceFailure" = dword:00000004
    Les entrées de registre suivantes sont ajoutées:
    • [HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings] "ProxyEnable" = dword:00000000
  • Requêtes HTTP
    • www.*****.org/licenses/gpl-3.0.txt