Vollständige Virenbeschreibung

Name:	TR/Autoit.CI.14
Entdeckt am:	13/06/2008
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Nein
Dateigröße:	~617.000 Bytes
IVDF Version:	7.00.04.193 - Freitag, 13. Juni 2008

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: W32.Imaut
   • Mcafee: W32/YahLover.worm virus
   • Kaspersky: Trojan.Win32.Autoit.ci
   • TrendMicro: WORM_DELF.FEA
   • F-Secure: Trojan.Win32.Autoit.ci
   • Sophos: Mal/Airworm-A
   • Eset: Win32/Autoit.DB worm

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine Datei
   • Änderung an der Registry

Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\regsvr.exe
   • %WINDIR%\regsvr.exe
   • %SYSDIR%\svchost .exe

Es wird folgende Datei erstellt:

– %SYSDIR%\setup.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Msn Messsenger"="%SYSDIR%\regsvr.exe"

Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableTaskMgr"=dword:00000000
   • "DisableRegistryTools"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • "shared"="\New Folder .exe"

– [HKLM\SYSTEM\ControlSet001\Services\Schedule]
   • "AtTaskMaxHours"=dword:00000000

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Shell"="Explorer.exe"
   Neuer Wert:
   • "Shell"="Explorer.exe regsvr.exe"

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Neuer Wert:
   • "NofolderOptions"=dword:00000000

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• ASPack

Die Beschreibung wurde erstellt von Thomas Wegele am Dienstag, 29. Juli 2008
Die Beschreibung wurde geändert von Thomas Wegele am Dienstag, 29. Juli 2008

zurück . . . .