Laboratoire antivirus Avira

‹ Retour

WORM/Dexel.iygx

Brève description
  • Nom
    WORM/Dexel.iygx
  • La date de la découverte
    18 avr. 2016
  • Version VDF
    7.12.82.116 (2016-04-18 18:52)
Description complète

Le terme « WORM » désigne un ver qui est en mesure de se propager de façon autonome, par ex. via Internet (par e-mail, réseau P2P, réseaux IRC, etc.).

  • VDF
    7.12.82.116 (2016-04-18 18:52)
  • Alias
    AVG: Luhe.Ramnit-corrupted
    Avast: Win32:Evo-gen
    Bitdefender: Gen:Variant.Zusy.162014
    ClamAV: Win.Trojan.Agent-1313630
    Dr. Web: Win32.HLLW.Siggen.5836
    ESET: VBS/Agent.NHP
    F-PROT: W32/Backdoor2.HWWI
    G Data: Gen:Variant.Zusy.162014
    Kaspersky Lab: HEUR:Trojan.Win32.Generic
    McAfee: Trojan-FHEO!BC8C1AB58F07
    Microsoft: TrojanDropper:Win32/Dexel.A
    Trend Micro: Mal_OtorunP
  • Fichiers
    Les duplications suivantes sont créées:
    • %TEMPDIR%\xelag.exe
    • %TEMPDIR%\{09a405f0-0a5f-4cfe-a424-a56e9a3186f}\WinDefender.exe
    • %USERPROFILE%\Start Menu\Programs\Startup\Download_Manager.exe
    • %TEMPDIR%\{09a405f0-0a5f-4cfe-a424-a56e9a3186f}\WinDefender.exe
    • %USERPROFILE%\Start Menu\Programs\Startup\Download_Manager.exe
  • Injections
    • %all running processes%
  • Registre
    Les entrées de registre suivantes sont ajoutées:
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows Script\Settings] "JITDebug" = dword:00000000
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Msiexec" = "%TEMPDIR%\{09a405f0-0a5f-4cfe-a424-a56e9a3186f}\WinDefender.exe" "MSKERNEL" = "%TEMPDIR%\xelag.exe"
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSKERNEL" = "%TEMPDIR%\xelag.exe"
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Msiexec" = "%TEMPDIR%\{09a405f0-0a5f-4cfe-a424-a56e9a3186f}\WinDefender.exe" "MSKERNEL" = "%TEMPDIR%\xelag.exe"
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSKERNEL" = "%TEMPDIR%\xelag.exe"