Comment supprimer Microsoft.a3x

Une nouvelle variante du Worm.autoIt GoogleChrome.a3x vient d’être découverte par UsbFix : Microsoft.a3x

Supprimer Microsoft.a3x

Microsoft.a3x : Description et comportement

Cette variante créé 1 dossier sur le disque système : C:\MicrosoftSecurity. Elle y place le script malveillant Microsoft.a3x (Script AutoIt encodé), des copies wscript.exe renommées, des copies de AutoIt.exe renommées, des copies de cmd.exe renommées ainsi que des raccourcis : MicrosoftCMD.lnk et MicrosoftUpdate.lnk. Microsoft.a3x créé 2 raccourcis en startup pour appeler le script malveillant en commande CMD ou par l’exécutable AutoiT :

  1. %StartUp%\Microsoft Security.lnk : %SysDir%\cmd.exe -> %SystemDrive%\MicrosoftSecurity\Microsoft.a3x
  2. %StartUp%\MicrosoftUpdate.lnk : %SystemDrive%\MicrosoftSecurity\MicrosoftSecurity.exe (Autoit.exe renommé) -> %SystemDrive%\MicrosoftSecurity\Microsoft.a3x

L’infection va ensuite se propager aux lecteurs amovibles (Clé USB, carte SD etc), elle créé le dossier MicrosoftSecurity et y place son code malveillant :
%UsbDrive%:\MicrosoftSecurity\Microsoft.a3x, créé les fichiers suivant :

  • %UsbDrive%:\! Videos\My Music.lnk
  • %UsbDrive%:\My Games\My Games.lnk
  • %UsbDrive%:\My Games\My Music.lnk
  • %UsbDrive%:\My Videos\My Videos.lnk
  • %UsbDrive%:\My Videos\My Music.lnk
  • %UsbDrive%:\My Movies\My Movies.lnk
  • %UsbDrive%:\My Movies\My Music.lnk

Les fichiers .lnk sont des raccourcis, ils sont tous piégés afin d’exécuter le script malveillant Microsoft.a3x .
Un raccourcis piégé est créé dans les dossiers présent sur le lecteur USB : My Music.lnk

Le ver se lance au démarrage à travers les fichiers startup cité plus haut et à travers les clés de registre en entrées 04 :

  • 04 – HKCU\..\Run : [PrintDriver] C:\MicrosoftSecurity\MicrosoftSecurity.exe /AutoIt3ExecuteScript C:\MicrosoftSecurity\Microsoft.a3x
  • 04 – HKCU\..\Run : [Microsoft Security] C:\MicrosoftSecurity\MicrosoftCMD.lnk
  • 04 – HKCU\..\Run : [Cortana] C:\MicrosoftSecurity\MicrosoftUpdate.lnk
  • 04 – HKCU\..\Run : [PrintDriver] C:\MicrosoftSecurity\MicrosoftSecurity.exe /AutoIt3ExecuteScript C:\MicrosoftSecurity\Microsoft.a3x
  • 04 – HKLM\..\Run : [Microsoft Security] C:\MicrosoftSecurity\MicrosoftCMD.lnk
  • 04 – HKLM\..\Run : [MicrosoftOffice] C:\MicrosoftSecurity\MicrosoftUpdate.lnk
  • 04 – HKLM\..\Run : [HDAudio] C:\MicrosoftSecurity\MicrosoftSecurity.exe /AutoIt3ExecuteScript C:\MicrosoftSecurity\Microsoft.a3x

Supprimer Microsoft.a3x avec UsbFix

Lancer une analyse UsbFix

UsbFix détecte les variantes de ces infections : Voici comment procéder pour supprimer Microsoft.a3x et nettoyer votre PC Windows ainsi que vos clés USB.

  1. Commencez par Télécharger UsbFix
  2. Lancer l’application et choisir Analyse complète
  3. UsbFix va analyser votre pc et vous proposer de supprimer les éléments malveillant
  4. Cliquez sur Mettre en quarantaine

Laisser un commentaire

Panier
Retour en haut