Nume:Worm/Autorun.bft
Descoperit pe data de:11/09/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:453.394 Bytes
MD5:ab1bf0316b7fd768c11958001d37b640
Versiune IVDF:7.00.06.148 - jueves 11 de septiembre de 2008

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Symantec: W32.Imaut
   •  Kaspersky: Trojan.Win32.Autoit.dt
   •  F-Secure: Trojan.Win32.Autoit.dt


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Creeaza fisiere
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\csrcs.exe
   • %directoare partajate din retea%\%combinatie de caractere aleatoare%.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\%combinatie de caractere aleatoare%
   • %TEMPDIR%\%combinatie de caractere aleatoare%

– %SYSDIR%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %TEMPDIR%\suicide.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://www.whatismyip.com/**********/n09230945.asp
Fisierul este stocat pe hard disc la: %temporary internet files%\Content.IE5\%combinatie de caractere aleatoare%\n09230945[1].htm

– Adresa este urmatoarea:
   • http://sousi.extasix.com/**********.htm
Fisierul este stocat pe hard disc la: %temporary internet files%\Content.IE5\%combinatie de caractere aleatoare%\genst[1].htm

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe csrcs.exe"



Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\DRM\amty]
   • "ilop"="1"
   • "fix"=""
   • "exp1"="%valori hex%"
   • "dreg"="%valori hex%"
   • "eggol"="0"
   • "regexp"="%numar%"



Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   Noua valoare:
   • "csrcs"="c:\windows\\system32\\csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "Hidden"=dword:00000002
     "SuperHidden"=dword:00000000
     "ShowSuperHidden"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Noua valoare:
   • "CheckedValue"=dword:00000001

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza o copie malware in urmatorul share de retea:
   • %directoare partajate din retea%\%combinatie de caractere aleatoare%.exe

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Descripción insertada por Andreas Feuerstein el jueves 11 de septiembre de 2008
Descripción actualizada por Andreas Feuerstein el martes 16 de septiembre de 2008

Volver . . . .