Virus wmpsl64.exe de type Config.{645FF040-5081-101B-9F08-00AA002F954E}\cfg-x93051059.np

**hackoofr** · 10/10/2012, 12h40

Depuis deux jours j'ai découvert un nouveau virus avec Malware Defender dans notre établissement qui se propage via clef USB.
voici un scan dans Virutotal de l'exécutable en question wmpsl64.exe
voici ce qu'il crée ce virus :
un fichier Autorun camouflé avec une taille de 1044 Ko:
en faite il n'est pas lisible mais j'ai cherché le nom shell et je l'ai organisé comme ceci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
icon=%windir%\system32\SHELL32.dll,3
shell\open=Open
shell\open\command=CMD /C START ~Config.{645FF040-5081-101B-9F08-00AA002F954E}\cfg-x93051059.np
shell\open\default=1
shell\explore=Explore
shell\explore\command=CMD /C START ~Config.{645FF040-5081-101B-9F08-00AA002F954E}\cfg-x93051059.np
shell\search=Search...
shell\search\command=CMD /C START ~Config.{645FF040-5081-101B-9F08-00AA002F954E}\cfg-x93051059.np

J'ai exporté les clés de la base de registre avec malware defender

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Media Task"="C:\\WINDOWS\\system32\\wmpth64.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Media Scheduler"="C:\\WINDOWS\\system32\\wmpsl64.exe"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msseces.exe]
"Debugger"="CMD /C>null"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MsMpEng.exe]
"Debugger"="CMD /C>null"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MsMpEng.exe]
"Debugger"="CMD /C>null"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\epplauncher.exe]
"Debugger"="CMD /C>null"