Vollständige Virenbeschreibung

Name:	TR/Autoit.BL
Entdeckt am:	24/01/2008
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	227.157 Bytes
MD5 Prüfsumme:	f305c36f2902724c854b6b0Fe607c04c
IVDF Version:	7.00.02.37 - Donnerstag, 24. Januar 2008

General Verbreitungsmethode:
   • Gemappte Netzlaufwerke

Aliases:
   • Mcafee: W32/Autorun.worm.bz
   • Kaspersky: Worm.Win32.AutoIt.ag
   • F-Secure: Worm:W32/AutoIt.L
   • Sophos: W32/Autoit-H
   • Grisoft: Worm/Autoit.BAS
   • Bitdefender: Win32.Worm.Autoit.AJ

Auswirkungen:
   • Erstellt eine Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Nach Aktivierung wird folgende Information angezeigt:

Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\%ausgeführte Datei%
   • %Laufwerk%\%ausgeführte Datei%

Es wird folgende Datei erstellt:

– %WINDIR%\pc-off.bat Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • @echo off
     shutdown -s -f -t 1

– %Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\BARRY]
   • (Default) = bar311_**********@yahoo.com

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • Userinit = userinit.exe,
   Neuer Wert:
   • Userinit = userinit.exe,virus.exe

– [HKCU\Software\Microsoft\Command Processor]
   Neuer Wert:
   • autorun = %WINDIR%\pc-off.bat

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • HideFileExt = %Einstellungen des Benutzers%
   • Hidden = %Einstellungen des Benutzers%
   • ShowSuperHidden = %Einstellungen des Benutzers%
   Neuer Wert:
   • HideFileExt = 1
   • Hidden = 2
   • ShowSuperHidden = 0

Die Beschreibung wurde erstellt von Andrei Gherman am Freitag, 25. Juli 2008
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 25. Juli 2008

zurück . . . .