Une nouvelle variante du Worm.autoIt GoogleChrome.a3x vient d’être découverte par UsbFix : Microsoft.a3x
Microsoft.a3x appartient donc à la famille des vers (Worm)
Cette variante créé 1 dossier sur le disque système :
Elle y place le script malveillant Microsoft.a3x (Script AutoIt encodé), des copies wscript.exe renommées, des copies de AutoIt.exe renommées, des copies de cmd.exe renommées ainsi que des raccourcis :
Microsoft.a3x créé 2 raccourcis en startup pour appeler le script malveillant en commande CMD ou par l’exécutable AutoiT :
L’infection va ensuite se propager aux lecteurs amovibles (Clé USB, carte SD etc), elle créé le dossier MicrosoftSecurity et y place son code malveillant :
%UsbDrive%:\MicrosoftSecurity\Microsoft.a3x, créé les fichiers suivant :
Les fichiers .lnk sont des raccourcis, ils sont tous piégés afin d’exécuter le script malveillant Microsoft.a3x .
Un raccourcis piégé est créé dans les dossiers présent sur le lecteur USB : My Music.lnk
Le ver se lance au démarrage à travers les fichiers startup cité plus haut et à travers les clés de registre en entrées 04 :
- 04 – HKCU\..\Run : [PrintDriver] C:\MicrosoftSecurity\MicrosoftSecurity.exe /AutoIt3ExecuteScript C:\MicrosoftSecurity\Microsoft.a3x
- 04 – HKCU\..\Run : [Microsoft Security] C:\MicrosoftSecurity\MicrosoftCMD.lnk
- 04 – HKCU\..\Run : [Cortana] C:\MicrosoftSecurity\MicrosoftUpdate.lnk
- 04 – HKCU\..\Run : [PrintDriver] C:\MicrosoftSecurity\MicrosoftSecurity.exe /AutoIt3ExecuteScript C:\MicrosoftSecurity\Microsoft.a3x
- 04 – HKLM\..\Run : [Microsoft Security] C:\MicrosoftSecurity\MicrosoftCMD.lnk
- 04 – HKLM\..\Run : [MicrosoftOffice] C:\MicrosoftSecurity\MicrosoftUpdate.lnk
- 04 – HKLM\..\Run : [HDAudio] C:\MicrosoftSecurity\MicrosoftSecurity.exe /AutoIt3ExecuteScript C:\MicrosoftSecurity\Microsoft.a3x
Comment supprimer Microsoft.a3x ?
UsbFix en version gratuite et Premium supprime ce ver AutoIt. Vous pouvez vous procurer une licence sur notre boutique : https://www.usb-antivirus.com/fr/produit/usbfix-premium/ ; Cliquez sur Lancer une analyse
Soutenir UsbFix
[sdonations]1[/sdonations]
Laisser un commentaire
Vous devez être identifié pour poster un commentaire.