Nume:Worm/Autorun.czg
Descoperit pe data de:27/03/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:13.824 Bytes
MD5:d7de4f1f1f388613616ab2f68abeaa62
Versiune IVDF:7.00.03.32 - Sonntag, 16. März 2008

 General Metoda de raspandire:
   • Discuri de retea mapate


Alias:
   •  Mcafee: BackDoor-ACA.b
   •  Kaspersky: Worm.Win32.AutoRun.czg
   •  F-Secure: Worm.Win32.AutoRun.czg
   •  Grisoft: Flooder.EZD
   •  Eset: Win32/AutoRun.IX
   •  Bitdefender: Trojan.Autorun.PK


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %recycle bin%\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
   • %unitate disc%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe



Sunt create fisierele:

– Fisier inofensiv:
   • %recycle
      bin%\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
   • StubPath="%recycle bin%\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe"

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: tassweq.com
Port: 7000
Parola serverului: trb123trb
Canal: #hisham#
Nick: %combinatie de caractere aleatoare%


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • intrare pe canal IRC
    • executare atac DDoS

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • EXPLORER.EXE

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

Die Beschreibung wurde erstellt von Andrei Gherman am Mittwoch, 6. August 2008
Die Beschreibung wurde geändert von Andrei Gherman am Mittwoch, 6. August 2008

zurück . . . .