Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:DR/Autoit.YH.331
Descoperit pe data de:24/08/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:570.044 Bytes
MD5:8c78dc19db83e8ad55eb4a8732476d57
Versiune VDF:7.10.04.195
Versiune IVDF:7.10.11.04 - marți, 24 august 2010

 General Metode de raspandire:
    Functia autorun
   • Peer to Peer


Alias:
   •  Mcafee: W32/Autorun.worm.zf.gen
   •  Sophos: W32/AutoIt-LA
   •  Bitdefender: Trojan.Autoit.ALR
   •  Panda: Trj/Autoit.gen
   •  Eset: Win32/Tifaut.D


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %unitate disc%\alokium.exe
   • %SYSDIR%\csrcs.exe



Sterge urmatoarele fisiere:
   • %TEMPDIR%\nonrlim
   • %TEMPDIR%\jicnohr
   • %TEMPDIR%\aut%numar%.tmp



Sunt create fisierele:

%unitate disc%\Autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%TEMPDIR%\nonrlim
%TEMPDIR%\aut%numar%.tmp
%TEMPDIR%\jicnohr



Incearca se execute urmatorul fisier:

Numele fisierului:
   • %SYSDIR%\csrcs.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



Se adauga in registrii sistemului:

[HKLM\Software\Microsoft\DRM\amty]
   • "ilop"="1"



Urmatoarele chei din registri sunt modificate:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Noua valoare:
   • "Shell"="Explorer.exe csrcs.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Noua valoare:
   • "CheckedValue"=dword:0x00000001

 P2P  Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii:   Extrage fisierele partajate, folosind urmatoarele chei de registru:
   • HKCU\Software\Shareaza\Shareaza
   • HKLM\SOFTWARE\LimeWire
   • HKCU\Software\Kazaa\LocalContent
   • HKLM\SOFTWARE\DC++
   • HKCU\Software\eMule
   • HKCU\Software\Ares


 Alte informatii  Cauta o conexiune Internet, contactand urmatorul website:
   • http://www.whatismyip.com/automation/n09230945.asp
Acceseaza resurse de pe internet:
   • http://suse.extasix.com/**********
   • http://www.5eb149c0.com/**********
   • http://wre.extasix.com/**********


Mutex:
Creeaza urmatorul mutex:
   • df8g1sdf68g18er1g8re16

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Friday, February 4, 2011
Description updated by Petre Galan on Friday, February 4, 2011

Back . . . .