Nume:TR/Autoit.BL
Descoperit pe data de:24/01/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:227.157 Bytes
MD5:f305c36f2902724c854b6b0Fe607c04c
Versiune IVDF:7.00.02.37 - jeudi 24 janvier 2008

 General Metoda de raspandire:
   • Discuri de retea mapate


Alias:
   •  Mcafee: W32/Autorun.worm.bz
   •  Kaspersky: Worm.Win32.AutoIt.ag
   •  F-Secure: Worm:W32/AutoIt.L
   •  Sophos: W32/Autoit-H
   •  Grisoft: Worm/Autoit.BAS
   •  Bitdefender: Win32.Worm.Autoit.AJ


Efecte secundare:
   • Creeaza un fisier
   • Reduce setarile de securitate
   • Modificari in registri


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\%fisier executat%
   • %unitate disc%\%fisier executat%



Este creat fisierul:

– %WINDIR%\pc-off.bat Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • @echo off
     shutdown -s -f -t 1

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

 Registrii sistemului Se adauga in registrii sistemului:

– [HKCU\Software\BARRY]
   • (Default) = bar311_**********@yahoo.com



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • Userinit = userinit.exe,
   Noua valoare:
   • Userinit = userinit.exe,virus.exe

– [HKCU\Software\Microsoft\Command Processor]
   Noua valoare:
   • autorun = %WINDIR%\pc-off.bat

Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Vechea valoare:
   • HideFileExt = %setarile utilizatorului%
   • Hidden = %setarile utilizatorului%
   • ShowSuperHidden = %setarile utilizatorului%
   Noua valoare:
   • HideFileExt = 1
   • Hidden = 2
   • ShowSuperHidden = 0

Description insérée par Andrei Gherman le vendredi 25 juillet 2008
Description mise à jour par Andrei Gherman le vendredi 25 juillet 2008

Retour . . . .