Nume:Worm/Autorun.ehx
Descoperit pe data de:04/07/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:113.731 Bytes
MD5:4594ad377b48a60ce6c104b74407373d
Versiune IVDF:7.00.05.47 - vendredi 4 juillet 2008

 General Metoda de raspandire:
   • Discuri de retea mapate


Alias:
   •  Symantec: Trojan.Packed.NsAnti
   •  Kaspersky: Worm.Win32.AutoRun.ehx
   •  F-Secure: Worm.Win32.AutoRun.ehx
   •  Sophos: Mal/EncPk-CE
   •  Panda: W32/Lineage.IYF.worm
   •  VirusBuster: Worm.AutoRun.BAA
   •  Eset: Win32/PSW.OnLineGames.NMY trojan
   •  Bitdefender: Trojan.PWS.OnlineGames.ZPE


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\amvo.exe
   • C:\xmnm2.cmd



Sterge copia initiala a virusului.



Sunt create fisierele:

– C:\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %TEMPDIR%\ovk2o.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.XPACK.Gen

– %SYSDIR%\amvo0.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Vundo.Gen

– %SYSDIR%\drivers\vga.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Rkit/Vanti.hl.1




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://www.aabb1122.com/**********/help.exe
Fisierul este stocat pe hard disc la: %TEMPDIR%\help.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.XPACK.Gen

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SYSTEM\ControlSet001\Services\KAVsys]
   • "Type"=dword:00000001
   • "ErrorControl"=dword:00000001
   • "Start"=dword:00000001
   • "ImagePath"="\??\%SYSDIR%\drivers\vga.sys"

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Thomas Wegele le mercredi 27 août 2008
Description mise à jour par Thomas Wegele le mercredi 27 août 2008

Retour . . . .