Name:DR/Autoit.I.1
Entdeckt am:21/09/2007
Art:Dropper
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:215.456 Bytes
MD5 Prüfsumme:69718103c21fd0e647d47c364758f215
IVDF Version:6.39.01.161 - Freitag, 21. September 2007

 General Verbreitungsmethode:
   • Gemappte Netzlaufwerke


Aliases:
   •  Kaspersky: Worm.Win32.AutoIt.i
   •  F-Secure: Worm.Win32.AutoIt.i
   •  Sophos: W32/SillyFDC-AP
   •  Eset: Win32/Autoit.AZ worm
   •  Bitdefender: Win32.Worm.Autoit.P


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter
   • Erstellt eine Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\msmsgs.exe

%WINDIR%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [autorun]
     open=system.exe
     shellexecute=system.exe
     shell\Explore\command=system.exe
     shell\Open\command=system.exe
     shell=Explore




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://ppt.th.gs/**********/bad1.exe
Diese wird lokal gespeichert unter: %SYSDIR%\bad1.exe Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://ppt.th.gs/**********/bad2.exe
Diese wird lokal gespeichert unter: %SYSDIR%\bad2.exe Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://ppt.th.gs/**********/bad3.exe
Diese wird lokal gespeichert unter: %SYSDIR%\bad3.exe Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • SYS1="%SYSDIR%\system.exe"
   • SYS2="%SYSDIR%\bad1.exe"
   • SYS3="%SYSDIR%\bad2.exe"
   • SYS4="%SYSDIR%\bad3.exe"
   • Msmsgs="%SYSDIR%\Msmsgs.exe"



Folgende Registryschlüssel werden geändert:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Neuer Wert:
   • SuperHidden=dword:00000000
   • ShowSuperHidden=dword:00000000
   • HideFileExt=dword:00000001
   • Hidden=dword:00000002

Deaktivieren von Regedit und Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   Neuer Wert:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Neuer Wert:
   • NoDriveTypeAutoRun=dword:0000005b
   • NoFind=dword:00000001
   • NoFolderOptions=dword:00000001

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Alexander Neth am Freitag, 5. September 2008
Die Beschreibung wurde geändert von Alexander Neth am Freitag, 5. September 2008

zurück . . . .