English
Deutsch
Français
Español
Italiano
Home
Vireninfos
TR/Autorun.S
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
TechBlog
TR/Autorun.S - Trojan
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
TR/Autorun.S
Entdeckt am:
21/08/2007
Art:
Trojan
In freier Wildbahn:
Ja
Gemeldete Infektionen:
Niedrig bis mittel
Verbreitungspotenzial:
Niedrig bis mittel
Schadenspotenzial:
Mittel bis hoch
Statische Datei:
Ja
Dateigröße:
94.208 Bytes
MD5 Prüfsumme:
75691359d5c9e0e7e09ce6cd1802bc31
IVDF Version:
6.39.01.26
- Tue, 21 Aug 2007 09:11 (GMT+1)
General
Verbreitungsmethode:
• Gemappte Netzlaufwerke
Aliases:
• Mcafee: W32/Autorun.worm.i.gen
• Kaspersky: Worm.Win32.AutoRun.wj
• F-Secure: Worm.Win32.AutoRun.wj
• Sophos: W32/SillyFDC-BJ
• Eset: Win32/AutoRun.LG
• Bitdefender: Trojan.Autorun.VN
Betriebsysteme:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Auswirkungen:
• Erstellt Dateien
• Setzt Sicherheitseinstellungen herunter
• Änderung an der Registry
Nach Aktivierung wird folgende Information angezeigt:
Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:
Dateien
Kopien seiner selbst werden hier erzeugt:
• C:\Documents and Settings\LocalService\services.exe
•
%SYSDIR%
\drivers\smss.exe
•
%WINDIR%
\winlogon.exe
•
%Laufwerk%
:\RECYCLER.exe
•
%Laufwerk%
:\Gwen(ISU) Scandal.exe
•
%Laufwerk%
:\Sex Video.exe
•
%Laufwerk%
:\zeluR maeTCP.exe
•
%alle Verzeichnisse%
\
%aktueller Verzeichnisname%
.exe
Folgende Dateien werden umbenannt:
•
%SYSDIR%
\hal.dll nach FuckUHal
•
%WINDIR%
\explorer.exe nach FuckU
•
%SYSDIR%
\dllcache nach FuckU
•
%SYSDIR%
\shell32.dll nach FuckU1
•
%SYSDIR%
\ntoskrnl.dll nach FuckU2
Es werden folgende Dateien erstellt:
–
%Laufwerk%
:\Autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
•
Es wird versucht folgende Datei auszuführen:
– Dateiname:
•
%PROGRAM FILES%
\Windows Media Player\wmplayer.exe
Registry
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
• winlogon =
%WINDIR%
\winlogon.exe
Folgender Registryschlüssel wird geändert:
Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Neuer Wert:
• HideFileExt = 1
• SuperHidden = 1
• ShowSuperHidden = 0
Datei Einzelheiten
Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.
Kurzfassung
hier
.
Beschreibung erstellt von Andrei Gherman am Wed, 06 Aug 2008 13:44 (GMT+1)
Beschreibung geändert von Andrei Gherman am Wed, 06 Aug 2008 14:23 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt bestimmte Malware und ihre Varianten.
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2009 Avira GmbH
Copyright
|
Datenschutz
|
Sitemap
|
Feedback
|
Impressum
|
FAQ
|
Kontakt
Vireninfos TR/Autorun.S
Diese Seite drucken
.gif)
