Une nouvelle variante du Worm.autoIt GoogleChrome.a3x vient d’être découverte par UsbFix : Microsoft.a3x
Microsoft.a3x appartient donc à la famille des vers (Worm)
Cette variante créé 1 dossier sur le disque système :
C:\MicrosoftSecurity
Elle y place le script malveillant Microsoft.a3x (Script AutoIt encodé), des copies wscript.exe renommées, des copies de AutoIt.exe renommées, des copies de cmd.exe renommées ainsi que des raccourcis :
MicrosoftCMD.lnk
MicrosoftUpdate.lnk
- MozillaFirefox.lnk
- My Music.lnk
- WindowsUpdate.lnk
Microsoft.a3x créé 2 raccourcis en startup pour appeler le script malveillant en commande CMD ou par l’exécutable AutoiT :
%StartUp%\Microsoft Security.lnk : %SysDir%\cmd.exe -> %SystemDrive%\MicrosoftSecurity\Microsoft.a3x
- %StartUp%\MicrosoftUpdate.lnk : %SystemDrive%\MicrosoftSecurity\MicrosoftSecurity.exe (Autoit.exe renommé) -> %SystemDrive%\MicrosoftSecurity\Microsoft.a3x
L’infection va ensuite se propager aux lecteurs amovibles (Clé USB, carte SD etc), elle créé le dossier MicrosoftSecurity et y place son code malveillant :
%UsbDrive%:\MicrosoftSecurity\Microsoft.a3x, créé les fichiers suivant :
- %UsbDrive%:\! Videos\! Videos.lnk
- %UsbDrive%:\! Videos\My Music.lnk
- %UsbDrive%:\My Games\My Games.lnk
- %UsbDrive%:\My Games\My Music.lnk
- %UsbDrive%:\My Videos\My Videos.lnk
- %UsbDrive%:\My Videos\My Music.lnk
- %UsbDrive%:\My Movies\My Movies.lnk
- %UsbDrive%:\My Movies\My Music.lnk
Les fichiers .lnk sont des raccourcis, ils sont tous piégés afin d’exécuter le script malveillant Microsoft.a3x .
Un raccourcis piégé est créé dans les dossiers présent sur le lecteur USB : My Music.lnk
Le ver se lance au démarrage à travers les fichiers startup cité plus haut et à travers les clés de registre en entrées 04 :
- 04 – HKCU\..\Run : [PrintDriver] C:\MicrosoftSecurity\MicrosoftSecurity.exe /AutoIt3ExecuteScript C:\MicrosoftSecurity\Microsoft.a3x
- 04 – HKCU\..\Run : [Microsoft Security] C:\MicrosoftSecurity\MicrosoftCMD.lnk
- 04 – HKCU\..\Run : [Cortana] C:\MicrosoftSecurity\MicrosoftUpdate.lnk
- 04 – HKCU\..\Run : [PrintDriver] C:\MicrosoftSecurity\MicrosoftSecurity.exe /AutoIt3ExecuteScript C:\MicrosoftSecurity\Microsoft.a3x
- 04 – HKLM\..\Run : [Microsoft Security] C:\MicrosoftSecurity\MicrosoftCMD.lnk
- 04 – HKLM\..\Run : [MicrosoftOffice] C:\MicrosoftSecurity\MicrosoftUpdate.lnk
- 04 – HKLM\..\Run : [HDAudio] C:\MicrosoftSecurity\MicrosoftSecurity.exe /AutoIt3ExecuteScript C:\MicrosoftSecurity\Microsoft.a3x
Comment supprimer Microsoft.a3x ?
UsbFix en version gratuite et Premium supprime ce ver AutoIt. Vous pouvez vous procurer une licence sur notre boutique : https://www.usb-antivirus.com/fr/produit/usbfix-premium/ ; Cliquez sur Lancer une analyse
Laisser un commentaire
Vous devez être dentifié pour poster un commentaire.