Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:Worm/Autorun.dcm
Descoperit pe data de:27/03/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:13.824 Bytes
MD5:7e924990480D44af6a239329b2e682cb
Versiune VDF:7.00.03.77
Versiune IVDF:7.00.03.82 - joi, 27 martie 2008

 General Metoda de raspandire:
   • Discuri de retea mapate


Alias:
   •  Kaspersky: Worm.Win32.AutoRun.dcm
   •  F-Secure: Worm.Win32.AutoRun.dcm
   •  Grisoft: Worm/Generic.GRV
   •  Eset: Win32/AutoRun.KS
   •  Bitdefender: Win32.Worm.TQW


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %recycle bin%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe
   • %unitate disc%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe



Sunt create fisierele:

– Fisier inofensiv:
   • %recycle
      bin%
\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
   • StubPath="%recycle bin%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe"

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: tassweq.com
Port: 7000
Parola serverului: trb123trb
Canal: #alhailam
Nick: %combinatie de caractere aleatoare%


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS UDP
    • intrare pe canal IRC

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • EXPLORER.EXE

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Ana Maria Niculescu on Friday, June 13, 2008
Description updated by Andrei Gherman on Thursday, July 31, 2008

Back . . . .