Vollständige Virenbeschreibung

Name:	Worm/AutoIt.YH
Entdeckt am:	18/08/2010
Art:	Worm
Nebenart:	Downloader
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	641.728 Bytes
MD5 Prüfsumme:	a52344dbf51069a071bd6cf719ff8ddf
IVDF Version:	7.10.10.208 - Mittwoch, 18. August 2010

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Worm.Win32.AutoIt.yh
   • Avast: AutoIt:Balero-C
   • Panda: Trj/CI.A
   • DrWeb: Win32.HLLW.Autoruner.based
   • Ikarus: Worm.Win32.AutoIt

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7

Auswirkungen:
   • Erstellt Dateien
   • Erstellt schädliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\csrcs.exe
   • %SYSDIR%\%zufällige Buchstabenkombination%.exe
   • c:\%aktuelles Verzeichnis%\%zufällige Buchstabenkombination%.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\%zufällige Buchstabenkombination%
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\%zufällige Buchstabenkombination%

– c:\%aktuelles Verzeichnis%\s.cmd Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Dies ist eine nicht virulente Textdatei. Sie enthält Informationen über das Programm selbst.

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://fl**********.exe
Diese wird lokal gespeichert unter: %SYSDIR%\RegShellSM.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde.

– Die URL ist folgende:
   • http://9**********.exe
Diese wird lokal gespeichert unter: %SYSDIR%\ip.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde.

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "csrcs"="%SYSDIR%\csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002
   • "SuperHidden"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"=dword:00000001

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\Software\Microsoft\DRM\amty]
   • "ilop"="1"
   • "fix"=""
   • "fix1"="1"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Carlos Valero Llabata am Freitag, 20. August 2010
Die Beschreibung wurde geändert von Andrei Ivanes am Donnerstag, 26. August 2010

zurück . . . .