¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nume:VBS/Autorun.l2
Descoperit pe data de:23/01/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut
Fisier static:Da
Marime:6.053 Bytes
MD5:153e90f0ca2a0de93da62e6789c91f22
Versiune IVDF:7.00.02.35 - miercuri, 23 ianuarie 2008

 General Metoda de raspandire:
    Functia autorun


Alias:
   •  Mcafee: VBS/Autorun.worm.au
   •  Sophos: W32/Autorun-AWJ
   •  Panda: VBS/Autorun.EB
   •  Eset: VBS/AutoRun.L
   •  Bitdefender: Trojan.VBS.Autorun.ACS


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %unitate disc%\UserConfig.vbs



Sterge urmatoarele fisiere:
   • %TEMPDIR%\username.bat
   • %TEMPDIR%\username.txt
   • %SYSDIR%\username.txt
   • %TEMPDIR%\TempCmd.cmd
   • %TEMPDIR%\TempReg.reg



Sunt create fisierele:

%TEMPDIR%\TempReg.reg Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%SYSDIR%\username.txt
%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%TEMPDIR%\username.txt
%TEMPDIR%\username.bat Fisierul este executat dupa ce a fost creat.
%TEMPDIR%\TempCmd.cmd Fisierul este executat dupa ce a fost creat.



Incearca sa execute urmatoarele fisiere:

Numele fisierului:
   • cmd /c ""C:\Temp\TempCmd.cmd" "


Numele fisierului:
   • regedit /s C:\Temp\TempReg.reg


Numele fisierului:
   • cmd /c ""C:\Temp\username.bat" "

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RunUserConfig"="%TEMPDIR%\UserConfig.vbs"



Urmatoarea cheie din registri este modificata:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "ShowSuperHidden"=dword:0x00000000

Descripción insertada por Petre Galan el jueves 1 de abril de 2010
Descripción actualizada por Petre Galan el jueves 1 de abril de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.