Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/AutoIt.YH
Entdeckt am:18/08/2010
Art:Worm
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:641.728 Bytes
MD5 Prfsumme:a52344dbf51069a071bd6cf719ff8ddf
IVDF Version:7.10.10.208 - Mittwoch, 18. August 2010

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Worm.Win32.AutoIt.yh
     Avast: AutoIt:Balero-C
   •  Panda: Trj/CI.A
     DrWeb: Win32.HLLW.Autoruner.based
     Ikarus: Worm.Win32.AutoIt


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
   • Erstellt Dateien
   • Erstellt schdliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\csrcs.exe
   • %SYSDIR%\%zufllige Buchstabenkombination%.exe
   • c:\%aktuelles Verzeichnis%\%zufllige Buchstabenkombination%.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.



Es werden folgende Dateien erstellt:

– Dateien fr temporren Gebrauch. Diese werden mglicherweise wieder gelscht.
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\%zufllige Buchstabenkombination%
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\%zufllige Buchstabenkombination%

c:\%aktuelles Verzeichnis%\s.cmd Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Dies ist eine nicht virulente Textdatei. Sie enthlt Informationen ber das Programm selbst.



Es wird versucht die folgenden Dateien herunterzuladen:

Die URL ist folgende:
   • http://fl**********.exe
Diese wird lokal gespeichert unter: %SYSDIR%\RegShellSM.exe Des Weiteren wird diese Datei ausgefhrt nachdem sie vollstndig heruntergeladen wurde.

Die URL ist folgende:
   • http://9**********.exe
Diese wird lokal gespeichert unter: %SYSDIR%\ip.exe Des Weiteren wird diese Datei ausgefhrt nachdem sie vollstndig heruntergeladen wurde.

 Registry Die folgenden Registryschlssel werden hinzugefgt um die Service nach einem Neustart des Systems erneut zu laden.

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "csrcs"="%SYSDIR%\csrcs.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002
   • "SuperHidden"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"=dword:00000001



Folgende Registryschlssel werden hinzugefgt:

[HKLM\Software\Microsoft\DRM\amty]
   • "ilop"="1"
   • "fix"=""
   • "fix1"="1"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Carlos Valero Llabata am Freitag, 20. August 2010
Die Beschreibung wurde geändert von Andrei Ivanes am Donnerstag, 26. August 2010

zurück . . . .