Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:VBS/Autorun.l2
Entdeckt am:23/01/2008
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:6.053 Bytes
MD5 Prüfsumme:153e90f0ca2a0de93da62e6789c91f22
IVDF Version:7.00.02.35 - Mittwoch, 23. Januar 2008

 General Verbreitungsmethode:
   • Autorun Dateien


Aliases:
   •  Mcafee: VBS/Autorun.worm.au
   •  Sophos: W32/Autorun-AWJ
   •  Panda: VBS/Autorun.EB
   •  Eset: VBS/AutoRun.L
   •  Bitdefender: Trojan.VBS.Autorun.ACS


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %Laufwerk%\UserConfig.vbs



Folgende Dateien werden gelöscht:
   • %TEMPDIR%\username.bat
   • %TEMPDIR%\username.txt
   • %SYSDIR%\username.txt
   • %TEMPDIR%\TempCmd.cmd
   • %TEMPDIR%\TempReg.reg



Es werden folgende Dateien erstellt:

%TEMPDIR%\TempReg.reg Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%SYSDIR%\username.txt
%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%TEMPDIR%\username.txt
%TEMPDIR%\username.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.
%TEMPDIR%\TempCmd.cmd Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.



Es versucht folgende Dateien auszuführen:

– Dateiname:
   • cmd /c ""C:\Temp\TempCmd.cmd" "


– Dateiname:
   • regedit /s C:\Temp\TempReg.reg


– Dateiname:
   • cmd /c ""C:\Temp\username.bat" "

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RunUserConfig"="%TEMPDIR%\UserConfig.vbs"



Folgender Registryschlüssel wird geändert:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • "ShowSuperHidden"=dword:0x00000000

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 1. April 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 1. April 2010

zurück . . . .