Une nouvelle variante du Worm.autoIt GoogleChrome.a3x vient d’être découverte par UsbFix : Microsoft.a3x
Microsoft.a3x : Description et comportement
Cette variante créé 1 dossier sur le disque système : C:\MicrosoftSecurity. Elle y place le script malveillant Microsoft.a3x (Script AutoIt encodé), des copies wscript.exe renommées, des copies de AutoIt.exe renommées, des copies de cmd.exe renommées ainsi que des raccourcis : MicrosoftCMD.lnk et MicrosoftUpdate.lnk. Microsoft.a3x créé 2 raccourcis en startup pour appeler le script malveillant en commande CMD ou par l’exécutable AutoiT :
- %StartUp%\Microsoft Security.lnk : %SysDir%\cmd.exe -> %SystemDrive%\MicrosoftSecurity\Microsoft.a3x
- %StartUp%\MicrosoftUpdate.lnk : %SystemDrive%\MicrosoftSecurity\MicrosoftSecurity.exe (Autoit.exe renommé) -> %SystemDrive%\MicrosoftSecurity\Microsoft.a3x
L’infection va ensuite se propager aux lecteurs amovibles (Clé USB, carte SD etc), elle créé le dossier MicrosoftSecurity et y place son code malveillant :
%UsbDrive%:\MicrosoftSecurity\Microsoft.a3x, créé les fichiers suivant :
- %UsbDrive%:\! Videos\My Music.lnk
- %UsbDrive%:\My Games\My Games.lnk
- %UsbDrive%:\My Games\My Music.lnk
- %UsbDrive%:\My Videos\My Videos.lnk
- %UsbDrive%:\My Videos\My Music.lnk
- %UsbDrive%:\My Movies\My Movies.lnk
- %UsbDrive%:\My Movies\My Music.lnk
Les fichiers .lnk sont des raccourcis, ils sont tous piégés afin d’exécuter le script malveillant Microsoft.a3x .
Un raccourcis piégé est créé dans les dossiers présent sur le lecteur USB : My Music.lnk
Le ver se lance au démarrage à travers les fichiers startup cité plus haut et à travers les clés de registre en entrées 04 :
- 04 – HKCU\..\Run : [PrintDriver] C:\MicrosoftSecurity\MicrosoftSecurity.exe /AutoIt3ExecuteScript C:\MicrosoftSecurity\Microsoft.a3x
- 04 – HKCU\..\Run : [Microsoft Security] C:\MicrosoftSecurity\MicrosoftCMD.lnk
- 04 – HKCU\..\Run : [Cortana] C:\MicrosoftSecurity\MicrosoftUpdate.lnk
- 04 – HKCU\..\Run : [PrintDriver] C:\MicrosoftSecurity\MicrosoftSecurity.exe /AutoIt3ExecuteScript C:\MicrosoftSecurity\Microsoft.a3x
- 04 – HKLM\..\Run : [Microsoft Security] C:\MicrosoftSecurity\MicrosoftCMD.lnk
- 04 – HKLM\..\Run : [MicrosoftOffice] C:\MicrosoftSecurity\MicrosoftUpdate.lnk
- 04 – HKLM\..\Run : [HDAudio] C:\MicrosoftSecurity\MicrosoftSecurity.exe /AutoIt3ExecuteScript C:\MicrosoftSecurity\Microsoft.a3x
Supprimer Microsoft.a3x avec UsbFix
UsbFix détecte les variantes de ces infections : Voici comment procéder pour supprimer Microsoft.a3x et nettoyer votre PC Windows ainsi que vos clés USB.
- Commencez par Télécharger UsbFix
- Lancer l’application et choisir Analyse complète
- UsbFix va analyser votre pc et vous proposer de supprimer les éléments malveillant
- Cliquez sur Mettre en quarantaine