Une nouvelle variante du Worm.autoIt GoogleChrome.a3x vient d’être découverte par UsbFix : Microsoft.a3x

Microsoft.a3x appartient donc à la famille des vers (Worm)

Cette variante créé 1 dossier sur le disque système :

  • C:\MicrosoftSecurity

Elle y place le script malveillant Microsoft.a3x (Script AutoIt encodé), des copies wscript.exe renommées, des copies de AutoIt.exe renommées, des copies de cmd.exe renommées ainsi que des raccourcis :

  • MicrosoftCMD.lnk

  • MicrosoftUpdate.lnk

  • MozillaFirefox.lnk
  • My Music.lnk
  • WindowsUpdate.lnk

Microsoft.a3x créé 2 raccourcis en startup pour appeler le script malveillant en commande CMD ou par l’exécutable AutoiT :

  • %StartUp%\Microsoft Security.lnk : %SysDir%\cmd.exe -> %SystemDrive%\MicrosoftSecurity\Microsoft.a3x

  • %StartUp%\MicrosoftUpdate.lnk : %SystemDrive%\MicrosoftSecurity\MicrosoftSecurity.exe (Autoit.exe renommé) -> %SystemDrive%\MicrosoftSecurity\Microsoft.a3x

L’infection va ensuite se propager aux lecteurs amovibles (Clé USB, carte SD etc), elle créé le dossier MicrosoftSecurity et y place son code malveillant :
%UsbDrive%:\MicrosoftSecurity\Microsoft.a3x, créé les fichiers suivant :

  • %UsbDrive%:\! Videos\! Videos.lnk
  • %UsbDrive%:\! Videos\My Music.lnk
  • %UsbDrive%:\My Games\My Games.lnk
  • %UsbDrive%:\My Games\My Music.lnk
  • %UsbDrive%:\My Videos\My Videos.lnk
  • %UsbDrive%:\My Videos\My Music.lnk
  • %UsbDrive%:\My Movies\My Movies.lnk
  • %UsbDrive%:\My Movies\My Music.lnk

Les fichiers .lnk sont des raccourcis, ils sont tous piégés afin d’exécuter le script malveillant Microsoft.a3x .
Un raccourcis piégé est créé dans les dossiers présent sur le lecteur USB : My Music.lnk

Le ver se lance au démarrage à travers les fichiers startup cité plus haut et à travers les clés de registre en entrées 04 :

  • 04 – HKCU\..\Run : [PrintDriver] C:\MicrosoftSecurity\MicrosoftSecurity.exe /AutoIt3ExecuteScript C:\MicrosoftSecurity\Microsoft.a3x
  • 04 – HKCU\..\Run : [Microsoft Security] C:\MicrosoftSecurity\MicrosoftCMD.lnk
  • 04 – HKCU\..\Run : [Cortana] C:\MicrosoftSecurity\MicrosoftUpdate.lnk
  • 04 – HKCU\..\Run : [PrintDriver] C:\MicrosoftSecurity\MicrosoftSecurity.exe /AutoIt3ExecuteScript C:\MicrosoftSecurity\Microsoft.a3x
  • 04 – HKLM\..\Run : [Microsoft Security] C:\MicrosoftSecurity\MicrosoftCMD.lnk
  • 04 – HKLM\..\Run : [MicrosoftOffice] C:\MicrosoftSecurity\MicrosoftUpdate.lnk
  • 04 – HKLM\..\Run : [HDAudio] C:\MicrosoftSecurity\MicrosoftSecurity.exe /AutoIt3ExecuteScript C:\MicrosoftSecurity\Microsoft.a3x

Comment supprimer Microsoft.a3x ?

UsbFix en version gratuite et Premium supprime ce ver AutoIt. Vous pouvez vous procurer une licence sur notre boutique : https://www.usb-antivirus.com/fr/produit/usbfix-premium/ ; Cliquez sur Lancer une analyse

usbfix premium 2019

Soutenir UsbFix

Notez ce tutoriel

1 Star2 Stars3 Stars4 Stars5 Stars
(Pas encore de vote)
Loading...