Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:Worm/Colowned.A.76
Descoperit pe data de:09/06/2011
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Marime:3.328.947 Bytes
MD5:8A6D83F8E169F2508F978C1B7D57D13F
Versiune VDF:7.11.09.105 - joi, 9 iunie 2011
Versiune IVDF:7.11.09.105 - joi, 9 iunie 2011

 General Metoda de raspandire:
   • Functia autorun


Alias:
   •  Kaspersky: Worm.Win32.AutoRun.hud
   •  TrendMicro: WORM_OTORUN.HU
   •  Microsoft: Worm:Win32/Colowned.A


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Creeaza fisiere
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %APPDATA%\taskhost.exe
   • %unitate disc%\viewDrive.exe

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://link.colo.**********.hu:31099/l.txt
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

 Registrii sistemului Se adauga una din valorile urmatoare pentru fiecare cheie din registri, pentru a porni procesul dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Task Host"="%APPDATA%\taskhost.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Task Host"="%APPDATA%\taskhost.exe"

 Backdoor Deschide portul

– svchost.exe pe portul UDP 1033


Servere contactate:

   • http://link.colo.**********.hu:31099


 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote in procese.

    Numele procesului:
   • svchost.exe


 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Ilie on Monday, August 1, 2011
Description updated by Andrei Ilie on Tuesday, August 2, 2011

Back . . . .