Nume:Worm/Autorun.aaer
Descoperit pe data de:07/07/2010
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:757.317 Bytes
MD5:cea12765341e12c6b960c4470de391a2
Versiune IVDF:7.10.09.33 - Mittwoch, 7. Juli 2010

 General Metode de raspandire:
   • Functia autorun
   • Messenger


Alias:
   •  Mcafee: W32/Yahlover.worm.gen.d virus
   •  Sophos: W32/AutoRun-AOA
   •  Bitdefender: Trojan.AutoIt.AIL
   •  Panda: W32/Autorun.JKR
   •  Eset: Win32/Autoit.EB


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\system3_.exe
   • %unitate disc%\system3_.exe
   • %SYSDIR%\system3_.exe



Sunt create fisierele:

– %SYSDIR%\autorun.ini
%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://advgoogle.0catch.com/**********


– Adresele sunt urmatoarele:
   • http://www.balu000.0catch.com/set/**********
   • http://www.balu001.0catch.com/set/**********
   • http://www.balu002.0catch.com/set/**********
   • http://www.balu005.0catch.com/set/**********
   • http://www.balu006.0catch.com/set/**********
   • http://www.balu007.0catch.com/set/**********
   • http://www.balu008.0catch.com/set/**********
   • http://www.balu009.0catch.com/set/**********
   • http://www.balu010.0catch.com/set/**********
   • http://www.balu011.0catch.com/set/**********


– Adresa este urmatoarea:
   • http://h1.ripway.com/asdb018/**********


– Adresa este urmatoarea:
   • http://h1.ripway.com/asdb020/**********


– Adresa este urmatoarea:
   • http://h1.ripway.com/asdb000/**********


– Adresa este urmatoarea:
   • http://h1.ripway.com/asdb004/**********


– Adresa este urmatoarea:
   • http://h1.ripway.com/asdb002/**********


– Adresa este urmatoarea:
   • http://h1.ripway.com/asdb016/**********


– Adresa este urmatoarea:
   • http://h1.ripway.com/asdb024/**********


– Adresa este urmatoarea:
   • http://h1.ripway.com/asdb006/**********


– Adresa este urmatoarea:
   • http://h1.ripway.com/asdb010/**********


– Adresa este urmatoarea:
   • http://h1.ripway.com/asdb012/**********


– Adresa este urmatoarea:
   • http://h1.ripway.com/asdb022/**********


– Adresa este urmatoarea:
   • http://h1.ripway.com/asdb014/**********




Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • %SYSDIR%\cmd.exe /C AT /delete /yes


– Numele fisierului:
   • AT /delete /yes


– Numele fisierului:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\system3_.exe


– Numele fisierului:
   • AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\system3_.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe system3_.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Yahoo Messengger"="%SYSDIR%\system3_.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN]
   • "Default_Page_URL"="http://www.advgoogle.blogdpot.com"
   • "Default_Search_URL"="http://www.advgoogle.blogdpot.com"
   • "Search Page"="http://www.advgoogle.blogdpot.com"
   • "Start Page"="http://www.advgoogle.blogdpot.com"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Start Page"="http://www.advgoogle.blogdpot.com"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Yahoo Messenger

URL-ul trimte la o copie a malware-ului descris. Daca utilizatorul descarca si executa acest fisier, procesul de infectare porneste din nou.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 19. August 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 19. August 2010

zurück . . . .