Nume:Worm/Autorun.VIN
Descoperit pe data de:18/10/2009
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:3.426.506 Bytes
MD5:43a4dde94650e0406f1b5f25af0ff3fe
Versiune IVDF:7.01.06.119 - Sunday, October 18, 2009

 General Metoda de raspandire:
   • Functia autorun


Alias:
   •  Mcafee: W32/Autorun.worm.c
   •  Sophos: W32/RealBot-C
   •  Panda: W32/IRCBot.CRH
   •  Eset: Win32/AutoRun.DK
   •  Bitdefender: Worm.Autorun.VIN


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %HOME%\Application Data\WindowsLive.exe
   • %unitate disc%\exploredrive.exe



Sterge urmatorul fisier:
   • %home%\Application Data\newe



Sunt create fisierele:

– %TEMPDIR%\Live
%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %TEMPDIR%\profilew.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Autorun.axpv

 Registrii sistemului Se adauga una din valorile urmatoare pentru fiecare cheie din registri, pentru a porni procesul dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Live"="%HOME%\Application Data\WindowsLive.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Live"="%HOME%\Application Data\WindowsLive.exe"



Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\WindowsLive]
   • "version"="201"

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: serv01.colo.owned.hu
Port: 31092
Canal: #support#
Nick: NEW-%numele computerului%

Description inserted by Petre Galan on Monday, March 15, 2010
Description updated by Petre Galan on Monday, March 15, 2010

Back . . . .