Name:Worm/AutoIt.x.5
Entdeckt am:25/11/2009
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:1.132.544 Bytes
MD5 Prüfsumme:f6919554ca3bde8b0ce1e81987e266aa
IVDF Version:7.10.01.77 - Mittwoch, 25. November 2009

 General Verbreitungsmethode:
   • Autorun Dateien


Aliases:
   •  Mcafee: W32/Autorun.worm.f
   •  Sophos: Mal/Sohana-B
   •  Panda: W32/Sohanat.IZ
   •  Eset: Win32/Autoit.AG
   •  Bitdefender: Win32.Worm.AutoIt.AC


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\regsvr.exe
   • %SYSDIR%\svchost .exe
   • %SYSDIR%\regsvr.exe
   • %Laufwerk%\regsvr.exe
   • %Laufwerk%\%alle Verzeichnisse%\%folder name% .exe



Es werden folgende Dateien erstellt:

%WINDIR%\Tasks\At1.job Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%SYSDIR%\setup.ini



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URLs sind folgende:
   • http://yahoo.com/**********.xls
   • http://www.yahoo.com/**********.xls


– Die URLs sind folgende:
   • http://www.yahoo.com/**********.doc
   • http://yahoo.com/**********.doc

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Msn Messsenger"="%SYSDIR%\regsvr.exe"



Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • "shared"="\New Folder .exe"



Folgende Registryschlüssel werden geändert:

– [HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Neuer Wert:
   • "ProxyEnable"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • "Shell"="Explorer.exe regsvr.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   Neuer Wert:
   • "AtTaskMaxHours"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Neuer Wert:
   • "NofolderOptions"=dword:0x00000000

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Montag, 15. März 2010
Die Beschreibung wurde geändert von Petre Galan am Montag, 15. März 2010

zurück . . . .