Une nouvelle variante du Worm.autoIt GoogleChrome.a3x vient d’être découverte par UsbFix : Microsoft.a3x
Microsoft.a3x : Description et comportement
Cette variante créé 1 dossier sur le disque système : C:\MicrosoftSecurity. Elle y place le script malveillant Microsoft.a3x (Script AutoIt encodé), des copies wscript.exe renommées, des copies de AutoIt.exe renommées, des copies de cmd.exe renommées ainsi que des raccourcis : MicrosoftCMD.lnk et MicrosoftUpdate.lnk. Microsoft.a3x créé 2 raccourcis en startup pour appeler le script malveillant en commande CMD ou par l’exécutable AutoiT :
- %StartUp%\Microsoft Security.lnk : %SysDir%\cmd.exe -> %SystemDrive%\MicrosoftSecurity\Microsoft.a3x
- %StartUp%\MicrosoftUpdate.lnk : %SystemDrive%\MicrosoftSecurity\MicrosoftSecurity.exe (Autoit.exe renommé) -> %SystemDrive%\MicrosoftSecurity\Microsoft.a3x
L’infection va ensuite se propager aux lecteurs amovibles (Clé USB, carte SD etc), elle créé le dossier MicrosoftSecurity et y place son code malveillant :
%UsbDrive%:\MicrosoftSecurity\Microsoft.a3x, créé les fichiers suivant :
- %UsbDrive%:\! Videos\My Music.lnk
- %UsbDrive%:\My Games\My Games.lnk
- %UsbDrive%:\My Games\My Music.lnk
- %UsbDrive%:\My Videos\My Videos.lnk
- %UsbDrive%:\My Videos\My Music.lnk
- %UsbDrive%:\My Movies\My Movies.lnk
- %UsbDrive%:\My Movies\My Music.lnk
Les fichiers .lnk sont des raccourcis, ils sont tous piégés afin d’exécuter le script malveillant Microsoft.a3x, cette méthode est identique aux malwares Microsoft Word.WsF. Un raccourcis piégé est créé dans les dossiers présent sur le lecteur USB : My Music.lnk
Le ver se lance au démarrage à travers les fichiers startup cité plus haut et à travers les clés de registre en entrées 04 :
- 04 – HKCU\..\Run : [PrintDriver] C:\MicrosoftSecurity\MicrosoftSecurity.exe /AutoIt3ExecuteScript C:\MicrosoftSecurity\Microsoft.a3x
- 04 – HKCU\..\Run : [Microsoft Security] C:\MicrosoftSecurity\MicrosoftCMD.lnk
- 04 – HKCU\..\Run : [Cortana] C:\MicrosoftSecurity\MicrosoftUpdate.lnk
- 04 – HKCU\..\Run : [PrintDriver] C:\MicrosoftSecurity\MicrosoftSecurity.exe /AutoIt3ExecuteScript C:\MicrosoftSecurity\Microsoft.a3x
- 04 – HKLM\..\Run : [Microsoft Security] C:\MicrosoftSecurity\MicrosoftCMD.lnk
- 04 – HKLM\..\Run : [MicrosoftOffice] C:\MicrosoftSecurity\MicrosoftUpdate.lnk
- 04 – HKLM\..\Run : [HDAudio] C:\MicrosoftSecurity\MicrosoftSecurity.exe /AutoIt3ExecuteScript C:\MicrosoftSecurity\Microsoft.a3x
Supprimer Microsoft.a3x avec UsbFix
UsbFix détecte les variantes de ces infections : Voici comment procéder pour supprimer Microsoft.a3x et nettoyer votre PC Windows ainsi que vos clés USB.
- Commencez par Télécharger UsbFix
- Lancer l’application et choisir Analyse complète
- UsbFix va analyser votre pc et vous proposer de supprimer les éléments malveillant
- Cliquez sur Mettre en quarantaine
Conseils pour se Protéger du virus Microsoft.a3x
Pour éviter de rencontrer des logiciels indésirables comme les virus usb et autres malware, il est crucial d’adopter des mesures préventives. L’utilisation d’un antivirus fiable comme Bitdefender peut grandement renforcer la sécurité de votre système. Pour découvrir des solutions efficaces pour sécuriser votre ordinateur, n’hésitez pas à essayer les solutions Bitdefender.
- Vous pouvez également désactiver l’Exécution automatique des périphériques amovibles :
- Ouvrez Panneau de configuration > Matériel et audio > Exécution automatique.
- Décochez Utiliser l’exécution automatique pour tous les médias et périphériques.
- Maintenez votre antivirus et Windows à jour.
- Évitez d’ouvrir des fichiers suspects sur des clés USB inconnues.
