Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/AutoIt.BEK
Entdeckt am:29/10/2008
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:387.584 Bytes
MD5 Prfsumme:c718e513f104913699362bd588364363
IVDF Version:7.01.00.09 - Mittwoch, 29. Oktober 2008

 General Verbreitungsmethode:
    Autorun Dateien


Aliases:
   •  Mcafee: W32/YahLover.worm.gen virus
   •  Sophos: Mal/Generic-A
   •  Panda: W32/Autorun.IOI
   •  Eset: Win32/AutoRun.WJ
   •  Bitdefender: Trojan.Generic.326271


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schdliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %Laufwerk%\logoneui.exe
   • %WINDIR%\web\connection.dat
   • %SYSDIR%\logoneui.exe
   • %Laufwerk%\Jojo.exe
   • %Laufwerk%\Zidan vs Tito.exe
   • %Laufwerk%\Maradona.exe
   • %Laufwerk%\%alle Verzeichnisse%\%directory name%.exe



Folgende Datei wird gelscht:
   • C:\boot.ini



Es werden folgende Dateien erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%WINDIR%\Tasks\At1.job
%Laufwerk%\info.bat
%SYSDIR%\autorun.ini
%SYSDIR%\boote\boot.ini

 Registry Einer der folgenden Werte wird dem Registry key hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "firewall 2008"="%SYSDIR%\logoneui.exe"



Folgende Registryschlssel werden hinzugefgt:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001

[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   • "HomePage"="1"



Folgende Registryschlssel werden gendert:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • "Shell"="Explorer.exe logoneui.exe"

[HKCU\Software\Microsoft\Internet Explorer\Main]
   Neuer Wert:
   • "Start Page"="http://famous2.topcities.com"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • "Hidden"=dword:0x00000000

[HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   Neuer Wert:
   • "AtTaskMaxHours"=dword:0x00000000
   • "NextAtJobId"=dword:0x00000002

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Neuer Wert:
   • "NofolderOptions"=dword:0x00000001

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 5. März 2010
Die Beschreibung wurde geändert von Petre Galan am Freitag, 5. März 2010

zurück . . . .