Nume:Worm/AutoIt.YH
Descoperit pe data de:18/08/2010
Tip:Vierme
Subtip:Downloader
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:641.728 Bytes
MD5:a52344dbf51069a071bd6cf719ff8ddf
Versiune IVDF:7.10.10.208 - Mittwoch, 18. August 2010

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Worm.Win32.AutoIt.yh
   •  Avast: AutoIt:Balero-C
   •  Panda: Trj/CI.A
   •  DrWeb: Win32.HLLW.Autoruner.based
   •  Ikarus: Worm.Win32.AutoIt


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efecte secundare:
   • Creeaza fisiere
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\csrcs.exe
   • %SYSDIR%\%combinatie de caractere aleatoare%.exe
   • c:\%directorul curent%\%combinatie de caractere aleatoare%.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\%combinatie de caractere aleatoare%
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\%combinatie de caractere aleatoare%

– c:\%directorul curent%\s.cmd Fisierul este executat dupa ce a fost creat. Acesta este un fisier curat, care contine informatii despre programul in sine.



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://fl**********.exe
Fisierul este stocat pe hard disc la: %SYSDIR%\RegShellSM.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet.

– Adresa este urmatoarea:
   • http://9**********.exe
Fisierul este stocat pe hard disc la: %SYSDIR%\ip.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "csrcs"="%SYSDIR%\csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002
   • "SuperHidden"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"=dword:00000001



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\Software\Microsoft\DRM\amty]
   • "ilop"="1"
   • "fix"=""
   • "fix1"="1"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Carlos Valero Llabata am Freitag, 20. August 2010
Die Beschreibung wurde geändert von Andrei Ivanes am Donnerstag, 26. August 2010

zurück . . . .