AutoIt est un Cheval de Troie qui usurpe le nom du langage de programmation légitime AutoIt.
– Il s’installe à votre insu via le téléchargement de logiciels gratuits.
– Il se propage via les sites 01net, CNET, BrotherSoft ou Softonic.
– Il désactive toutes les protections du système.
– Il doit être immédiatement supprimé car il présente un risque pour votre système et vos données personnelles.
– Recensé le 08/07/2011

Caractéristiques Trojan.AutoIt :

– Il appartient à une famille de Trojans avec des fonctionnalités de ver et de portes derobées.
– Un Cheval de Troie est un programme indésirable qui s’installe à l’insu de l’utilisateur.
– Un ver est un programme autonome et nocif qu’il faut immédiatement éradiquer.
– Développé par la société Unknown

Actions principales Trojan.AutoIt:

– Il désactive l’accès aux options de dossiers de l’explorateur Windows,
– Il désactive l’accès au Gestionnaire des tâches,
– Il désactive l’accès à la base de Registre,
– Il modifie les valeurs du fichier System.ini (F2) (XP),
– Il modifie la valeur Shell de la clé Winlogon (Vista/W7),
– Il s’installe en tant qu’application démarrée par le registre (O4),
– Il place un raccourci dans le dossier de démarrage de Windows (O4 GS),
– Il s’installe en tant que programme (O42),
– Il crée des clés de Registre « Software »,
– Il s’installe en export de clé d’application autorisée (ECAA) (O47),

Aperçu ZHPDiag, NCDiag Trojan.AutoIt :

—\\ Security Center & Tools Informations

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoFolderOptions: Modified[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: Modified[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: Modified[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell: Modified

—\\ Modification d’une valeur Ini (Changed inifile value, mapped to Registry) (F2)
F2 – REG:system.ini: Shell=Explorer.exe SCVVHSOT.exe
F2 – REG:system.ini: Shell=Explorer.exe SSVICHOSST.exe

—\\ Applications démarrées automatiquement par le registre (O4)
O4 – HKCU\..\Run: [Yahoo Messengger] . (…) — C:\WINDOWS\system32\SCVVHSOT.exe
O4 – HKCU\..\Run: [Yahoo Messengger] . (…) — C:\WINDOWS\system32\SSVICHOSST.exe
O4 – HKUS\S-1-5-21-1214440339-1425521274-1606980848-1003\..\Run: [Yahoo Messengger] . (…) — C:\WINDOWS\system32\SSVICHOSST.exe

—\\ Autres liens utilisateurs (O4)
O4 – Global Startup: C:\Users\Coolman\Desktop\Porta.lnk . (…) — C:\Program Files (x86)\Porta\porta.exe

—\\ Logiciels installés (O42)
O42 – Logiciel: Porta – (…) [HKLM][64Bits] — Porta

—\\ HKCU & HKLM Software Keys[HKCU\Software\Porta]

—\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 – CFD: 15/08/2010 – 18:12:06 – [1354335] —-D- C:\Program Files (x86)\Porta

—\\ Export de clé d’application autorisée (O47)
O47 – AAKE:Key Export SP – « C:\WINDOWS\system32\SSVICHOSST.exe » [Enabled] .(…) — C:\WINDOWS\system32\SSVICHOSST.exe

—\\ Recherche particuliere à la racine de certains dossiers (O84)[MD5.78C22DF03127318893CE5B1FEDE8401C] [SPRF] (.AutoIt Team – AutoIt v3 Script.) — C:\Users\Coolman\AppData\Local\Temp\Cornel.dll [745336] [MD5.01A11CAFB2456937FA3622CC41C20121] [SPRF] (. – Cornel H@cker.) — C:\Users\Coolman\AppData\Local\Temp\SniperBotNoDetectV.exe [413565]

—\\ Scan Additionnel (O88 )[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:Yahoo Messengger[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Porta] [HKCU\Software\Porta] C:\Users\Coolman\AppData\Local\Temp\SniperBotNoDetectV.exe
C:\Users\Coolman\AppData\Local\Temp\Cornel.dll
C:\Program Files (x86)\Porta
C:\Program Files (x86)\Porta\porta.exe
C:\Windows\RVHOST.exe
C:\Windows\scvhost.exe
C:\Windows\system32\blastclnnn.exe
C:\Windows\system32\scvhost.exe
C:\Windows\system32\RVHOST.exe
C:\WINDOWS\system32\SSVICHOSST.exe

Liens Trojan.AutoIt :

Les trojans sont des programmes autonomes qui prétendent être en fait ce qu’ils ne sont pas réellement.
The detection Trojan:W32/AutoIt identifies a large family of trojans…
ThreatExpert File Analysis
ssvichosst.exe ThreatExpert File Analysis

Alias Trojan.AutoIt :

Trojan:W32/AutoIt [F-Secure] Trojan:AutoIt/Clodow.B
win32 Trojan.AutoIT
Worm.Win32.AutoIt

Supprimer (Remove) Trojan.AutoIt :

– Supprimer le logiciel « Porta » via le panneau de configuration Windows,
Supprimer avec ZHPcleaner