Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:Worm/Autorun.czg
Descoperit pe data de:27/03/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:13.824 Bytes
MD5:d7de4f1f1f388613616ab2f68abeaa62
Versiune IVDF:7.00.03.32 - duminică, 16 martie 2008

 General Metoda de raspandire:
   • Discuri de retea mapate


Alias:
   •  Mcafee: BackDoor-ACA.b
   •  Kaspersky: Worm.Win32.AutoRun.czg
   •  F-Secure: Worm.Win32.AutoRun.czg
   •  Grisoft: Flooder.EZD
   •  Eset: Win32/AutoRun.IX
   •  Bitdefender: Trojan.Autorun.PK


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %recycle bin%\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
   • %unitate disc%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe



Sunt create fisierele:

Fisier inofensiv:
   • %recycle
      bin%
\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

[HKLM\Software\Microsoft\Active Setup\Installed Components\
   {08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
   • StubPath="%recycle bin%\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe"

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: tassweq.com
Port: 7000
Parola serverului: trb123trb
Canal: #hisham#
Nick: %combinatie de caractere aleatoare%


 In plus, poate efectua urmatoarele operatii:
     conectare server IRC
    • intrare pe canal IRC
    • executare atac DDoS

 Injectarea codului malware in alte procese Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • EXPLORER.EXE

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

Description inserted by Andrei Gherman on Wednesday, August 6, 2008
Description updated by Andrei Gherman on Wednesday, August 6, 2008

Back . . . .