CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Worm.Win32.AutoRun

Date de la détection 06/30/2010
Classe Worm
Plateforme Win32
Description

Le ver charge le fichier .dll à tous les processus actifs.

Le ver intercepte également les événements souris et clavier si l'un des processus répertoriés ci-dessous a été lancé:

maplestory.exe
dekaron.exe
gc.exe
RagFree.exe
Ragexe.exe
ybclient.exe
wsm.exe
sro_client.exe
so3d.exe
ge.exe
elementclient.exe

Le ver récolte les données de compte relatives aux jeux suivants:

ZhengTu
Wanmi Shijie ou Perfect World
Dekaron Siwan Mojie
HuangYi en ligne
Rexue Jianghu
ROHAN
Sceller en ligne
Maple Story
R2 (Règne de la Révolution)
Talesweaver

Les données collectées sont envoyées au site de l'utilisateur malveillant distant.

Le ver modifie également les valeurs de paramètre de clé de registre système suivantes:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFol
derHiddenSHOWALL]
"CheckedValue" = "0"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Caché" = "2"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"ShowSuperHidden" = "0"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionPociliesExplorer]
"NoDriveTypeAutoRun" = "0x91"

Par exemple Worm.Win32.AutoRun.beot:

Worm se copie sur des disques locaux et des ressources réseau accessibles. C'est Windows (fichier PE-EXE). Il mesure 47733 octets. Il est emballé par FSG. La taille du fichier déballé est d'environ 160 Ko. Il est écrit en Delphi.

Installation

Une fois lancé, le ver copie son corps sur un disque système de l'ordinateur d'un utilisateur.

Pour vous assurer que la copie créée est lancée automatiquement chaque fois que le système est redémarré, la clé de registre suivante est créée:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun] 

Propagation

Le ver copie son corps sur tous les disques amovibles inscriptibles connectés à l'ordinateur infecté. Le fichier "AutoRun.inf" est créé avec une copie à la racine d'un disque infecté. Il fournit une copie à exécuter chaque fois qu'un utilisateur ouvre un disque amovible infecté en utilisant "Explorer".


Lien vers l'original