Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:WORM/Autorun.bhko
Descoperit pe data de:17/05/2010
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:36.864 Bytes
MD5:7b508569587800f36a602faf565a44e2
Versiune VDF:7.10.07.115

 General Metoda de raspandire:
   • Discuri de retea mapate


Alias:
   •  Symantec: W32.SillyFDC
   •  Kaspersky: Worm.Win32.AutoRun.bhko
   •  TrendMicro: WORM_AUTORUN.MTZ
   •  F-Secure: Trojan.Generic.4126632
   •  Sophos: Mal/SillyFDC-F
   •  Panda: W32/Autorun.JXY
   •  VirusBuster: Worm.AutoRun.APJH
   •  Eset: Win32/AutoRun.VB.PA
   •  Bitdefender: Trojan.Generic.4126632


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %HOME%\%username%1\winlogon.exe



Este creat fisierul:

– %HOME%\%username%1\VERSION.TXT Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • 190




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://0-0-0-1-0-1-1-1-1-1-0-1-0-1-1-1-1-0-0-0-0-0-1-1-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.in**********
Fisierul este stocat pe hard disc la: %HOME%\%username%1\wlo.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dropper.Gen


– Adresele sunt urmatoarele:
   • http://0-0-0-1-0-1-1-1-1-1-0-1-0-1-1-1-1-0-0-0-0-0-1-1-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.in**********
   •
Fisierul este stocat pe hard disc la: %HOME%\%username%1\winhelp32.exe Detectat ca: WORM/VBNA.B.370

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\%username%1\winlogon.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\%username%1\winlogon.exe"

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Visual Basic.

Description inserted by Alexandru Dinu on Friday, July 9, 2010
Description updated by Alexandru Dinu on Friday, July 9, 2010

Back . . . .