Name:DR/Autoit.RL
Entdeckt am:14/10/2009
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:927.495 Bytes
MD5 Prüfsumme:e26110b93d3e2b047f11cb9b3158cc35
IVDF Version:7.01.06.109 - Mittwoch, 14. Oktober 2009

 General Verbreitungsmethode:
• Autorun Dateien


Aliases:
   •  Mcafee: W32/Renocide.c virus
   •  Sophos: W32/Autoit-HA
   •  Eset: Win32/AutoRun.Autoit.BL
   •  Bitdefender: Trojan.Generic.2590538


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\csrcs.exe
   • %Laufwerk%\mijdwm.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Folgende Datei wird gelöscht:
   • %TEMPDIR%\suicide.bat



Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • C:\%zufällige Buchstabenkombination%

%SYSDIR%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%TEMPDIR%\suicide.bat



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URLs sind folgende:
   • http://pimpumpam.orz.hm:48753/**********
   • http://lanlenio.or.tp:48753/**********
   • http://juirjeju.or.tp:48753/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\DRM\amty]
   • "dreg"="408406541BC5BBE4DC197A2A0C46B9ACF2F90D96B151D7C7BCBD177641EE95F562E634D70EB70FB65FC8FBF0EC31276D8626D05B1ED70CC881A48DA07A7E649B"
   • "exp1"="408406541BC5BBE4DC197A2A0C46B9ADF2F90D96B151D7C7BCBD177641EE95F162E634D70EB70FB65FC8FBF0EC312619"
   • "fix"=""
   • "fix1"="1"
   • "ilop"="1"
   • "regexp"="%Nummer%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • "Shell"="Explorer.exe csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Neuer Wert:
   • "GlobalUserOffline"=dword:0x00000000

 Infektion über das Netzwerk IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert wobei die ersten drei Zahlen die der eigenen Addresse sind. Es wird dann versuche eine Verbindung mit diesen Adressen aufzubauen.

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 15. Dezember 2009
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 15. Dezember 2009

zurück . . . .