Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:WORM/Autorun.abo.37
Descoperit pe data de:22/06/2011
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:50.688 Bytes
MD5:80663742E6C0B212D0445B6DE39F65C4
Versiune VDF:7.11.10.68 - miercuri, 22 iunie 2011
Versiune IVDF:7.11.10.68 - miercuri, 22 iunie 2011

 General Metoda de raspandire:
    Functia autorun


Alias:
   •  TrendMicro: TROJ_SPNR.11I711
   •  Sophos: Mal/Zbot-ASK
     Microsoft: Worm:Win32/Autorun.ABO


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Creeaza fisiere
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\svrwsc.exe



Este creat fisierul:

%TEMPDIR%\Low%valori hex%.tmp.bat Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SvrWsc"=""



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

[HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc]
   • "Type"=dword:0000000a
   • "Start"=dword:00000002
   • "ErrorControl"="0"
   • "ImagePath"="\"%SYSDIR%\svrwsc.exe\""
   • "DisplayName"="Windows Security Center Service"
   • "ObjectName"="LocalSystem"
   • "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."



Se adauga in registrii sistemului:

[HKLM\SYSTEM\ControlSet001\Services\SvrWsc\Enum]
   • "@"="Root\LEGACY_SVRWSC\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Backdoor Servere contactate:
Unul dintre:
   • **********etwop.ru:80
   • **********adert.ru:80


 Injectarea codului malware in alte procese  Se injecteaza ca un thread remote in procese.

    Urmatoarele procese:
   • winlogon.exe
   • services.exe
   • userinit.exe
   • iexplore.exe
   • firefox.exe
   • msimn.exe
   • outlook.exe
   • explorer.exe
   • svchost.exe
   • rundll32.exe

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description inserted by Andrei Ilie on Friday, October 21, 2011
Description updated by Andrei Ilie on Monday, October 24, 2011

Back . . . .