Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:WORM/Autorun.bhko
Entdeckt am:17/05/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:36.864 Bytes
MD5 Prfsumme:7b508569587800f36a602faf565a44e2
VDF Version:7.10.07.115

 General Verbreitungsmethode:
   • Gemappte Netzlaufwerke


Aliases:
   •  Symantec: W32.SillyFDC
   •  Kaspersky: Worm.Win32.AutoRun.bhko
   •  TrendMicro: WORM_AUTORUN.MTZ
   •  F-Secure: Trojan.Generic.4126632
   •  Sophos: Mal/SillyFDC-F
   •  Panda: W32/Autorun.JXY
   •  VirusBuster: Worm.AutoRun.APJH
   •  Eset: Win32/AutoRun.VB.PA
   •  Bitdefender: Trojan.Generic.4126632


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt eine schdliche Dateien herunter
   • Erstellt schdliche Dateien
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %HOME%\%username%1\winlogon.exe



Es wird folgende Datei erstellt:

%HOME%\%username%1\VERSION.TXT Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • 190




Es wird versucht die folgenden Dateien herunterzuladen:

Die URL ist folgende:
   • http://0-0-0-1-0-1-1-1-1-1-0-1-0-1-1-1-1-0-0-0-0-0-1-1-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.in**********
Diese wird lokal gespeichert unter: %HOME%\%username%1\wlo.exe Des Weiteren wird diese Datei ausgefhrt nachdem sie vollstndig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dropper.Gen


Die URLs sind folgende:
   • http://0-0-0-1-0-1-1-1-1-1-0-1-0-1-1-1-1-0-0-0-0-0-1-1-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.in**********
   •
Diese wird lokal gespeichert unter: %HOME%\%username%1\winhelp32.exe Erkannt als: WORM/VBNA.B.370

 Registry Die folgenden Registryschlssel werden hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\%username%1\winlogon.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\%username%1\winlogon.exe"

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Alexandru Dinu am Freitag, 9. Juli 2010
Die Beschreibung wurde geändert von Alexandru Dinu am Freitag, 9. Juli 2010

zurück . . . .