Trojan.Win32.Autoit

Une fois lancé, le cheval de Troie effectue les actions suivantes:

• Il tente de se connecter aux serveurs HTTP suivants:

   87. ***. 14
  
  
  
  69. ***. 224
  
  
  
  

• Il crée le répertoire:

  
  
  
  % System% <rnd> 

  où <rnd> est un nombre décimal aléatoire à cinq chiffres.

• Il extrait un fichier de son corps et l'enregistre dans le système comme:

   % System% <rnd> svchost.exe 

  (525 312 octets, détecté par Kaspersky Anti-Virus comme "not-a-virus: Monitor.Win32.Ardamax.ae")

• Il lance le fichier extrait pour exécution.
• Il modifie les valeurs des clés de registre système suivantes:

  
  
  
  [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
  
  
  
  "NofolderOptions" = 0
  
  
  
  
  
  
  
  [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
  
  
  
  "DisableTaskMgr" = 0
  
  
  
  
  
  
  
  [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
  
  
  
  "DisableRegistryTools" = 1
  
  
  
  

  La modification de la dernière clé désactive l'éditeur de registre.

• Il crée le fichier:

  
  
  
  % System% setup.ini (96 octets) 

  avec le contenu suivant:

  
  
  
  [Autorun]
  
  
  
  Open = regsvr.exe
  
  
  
  Shellexecute = regsvr.exe
  
  
  
  ShellOpencommand = regsvr.exe
  
  
  
  Shell = Ouvert
  
  
  
  

• Il lance l'interpréteur de commande système "cmd.exe" avec les paramètres suivants:

   / C AT / delete / oui 

  Cela annule toutes les tâches planifiées dans le planificateur de tâches Windows.

   / C A 09:00 / interactif / TOUS: m, t, w, th, f, s, su% Système% svchost.exe 

Windows Task Scheduler lancera chaque jour à 9h00 une copie du cheval de Troie.