Nume:Worm/Autorun.phg
Descoperit pe data de:09/10/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:118.784 Bytes
MD5:0a2566df33fe77ebd22e9acd8aae2a6e
Versiune IVDF:7.00.07.16 - jeudi 9 octobre 2008

 General Metoda de raspandire:
   • Functia autorun


Alias:
   •  Mcafee: W32/Autorun.worm.gen
   •  Sophos: Mal/Generic-A
   •  Panda: W32/Autorun.IPF
   •  Eset: Win32/AutoRun.IRCBot.DY
   •  Bitdefender: Trojan.Generic.1684107


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %unitate disc%\RESTORE\%CLSID%\ise32.exe



Sunt create fisierele:

%unitate disc%\RESTORE\%CLSID%\Desktop.ini
%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Classes\.key]
   • "@"="regfile"

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
   • "StubPath"="c:\RESTORE\%CLSID%\ise32.exe"

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: jpg.ms**********.us
Port: 1863
Nick: [laMer]%combinatie de caractere aleatoare%

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • explorer.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Petre Galan le vendredi 5 mars 2010
Description mise à jour par Petre Galan le vendredi 5 mars 2010

Retour . . . .