DR/Autoit.I.1 - Dropper

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	DR/Autoit.I.1
Entdeckt am:	21/09/2007
Art:	Dropper
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	215.456 Bytes
MD5 Prüfsumme:	69718103c21fd0e647d47c364758f215
IVDF Version:	6.39.01.161 - Fri, 21 Sep 2007 10:13 (GMT+1)

General Verbreitungsmethode:
   • Gemappte Netzlaufwerke

Aliases:
   • Kaspersky: Worm.Win32.AutoIt.i
   • F-Secure: Worm.Win32.AutoIt.i
   • Sophos: W32/SillyFDC-AP
   • Eset: Win32/Autoit.AZ worm
   • Bitdefender: Win32.Worm.Autoit.P

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt Dateien herunter
   • Erstellt eine Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\msmsgs.exe

– %WINDIR%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [autorun]
     open=system.exe
     shellexecute=system.exe
     shell\Explore\command=system.exe
     shell\Open\command=system.exe
     shell=Explore

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://ppt.th.gs/**********/bad1.exe
Diese wird lokal gespeichert unter: %SYSDIR%\bad1.exe Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://ppt.th.gs/**********/bad2.exe
Diese wird lokal gespeichert unter: %SYSDIR%\bad2.exe Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://ppt.th.gs/**********/bad3.exe
Diese wird lokal gespeichert unter: %SYSDIR%\bad3.exe Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • SYS1="%SYSDIR%\system.exe"
   • SYS2="%SYSDIR%\bad1.exe"
   • SYS3="%SYSDIR%\bad2.exe"
   • SYS4="%SYSDIR%\bad3.exe"
   • Msmsgs="%SYSDIR%\Msmsgs.exe"

Folgende Registryschlüssel werden geändert:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Neuer Wert:
   • SuperHidden=dword:00000000
   • ShowSuperHidden=dword:00000000
   • HideFileExt=dword:00000001
   • Hidden=dword:00000002

Deaktivieren von Regedit und Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   Neuer Wert:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Neuer Wert:
   • NoDriveTypeAutoRun=dword:0000005b
   • NoFind=dword:00000001
   • NoFolderOptions=dword:00000001

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Alexander Neth am Fri, 05 Sep 2008 09:44 (GMT+1)
Beschreibung geändert von Alexander Neth am Fri, 05 Sep 2008 09:56 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück