Depuis deux jours j'ai découvert un nouveau virus avec Malware Defender dans notre établissement qui se propage via clef USB.
voici un scan dans Virutotal de l'exécutable en question wmpsl64.exe
voici ce qu'il crée ce virus :
un fichier Autorun camouflé avec une taille de 1044 Ko:
en faite il n'est pas lisible mais j'ai cherché le nom shell et je l'ai organisé comme ceci
J'ai exporté les clés de la base de registre avec malware defender
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8 icon=%windir%\system32\SHELL32.dll,3 shell\open=Open shell\open\command=CMD /C START ~Config.{645FF040-5081-101B-9F08-00AA002F954E}\cfg-x93051059.np shell\open\default=1 shell\explore=Explore shell\explore\command=CMD /C START ~Config.{645FF040-5081-101B-9F08-00AA002F954E}\cfg-x93051059.np shell\search=Search... shell\search\command=CMD /C START ~Config.{645FF040-5081-101B-9F08-00AA002F954E}\cfg-x93051059.np
Donc ma question comment il fonctionne ce nouveau type de virus ?
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Media Task"="C:\\WINDOWS\\system32\\wmpth64.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Media Scheduler"="C:\\WINDOWS\\system32\\wmpsl64.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msseces.exe] "Debugger"="CMD /C>null" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MsMpEng.exe] "Debugger"="CMD /C>null" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MsMpEng.exe] "Debugger"="CMD /C>null" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\epplauncher.exe] "Debugger"="CMD /C>null"
Partager