Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Autorun.dcm
Scoperto:27/03/2008
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:13.824 Byte
Somma di controllo MD5:7e924990480D44af6a239329b2e682cb
Versione VDF:7.00.03.77
Versione IVDF:7.00.03.82 - giovedì 27 marzo 2008

 Generale Metodo di propagazione:
   • Unitdi rete mappata


Alias:
   •  Kaspersky: Worm.Win32.AutoRun.dcm
   •  F-Secure: Worm.Win32.AutoRun.dcm
   •  Grisoft: Worm/Generic.GRV
   •  Eset: Win32/AutoRun.KS
   •  Bitdefender: Win32.Worm.TQW


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %cestino%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe
   • %unit disco%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe



Vengono creati i seguenti file:

File non maligno:
   • %cestino%\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

%unit disco%\autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

[HKLM\Software\Microsoft\Active Setup\Installed Components\
   {08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
   • StubPath="%cestino%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: tassweq.com
Porta: 7000
Password del server: trb123trb
Canale: #alhailam
Nickname: %stringa di caratteri casuale%


 In pi ha la capacit di effettuare azioni quali:
     connettere al server IRC
     Lanciare un attacco DdoS SYN
     Lancia un attacco DdoS UDP
    • Connettersi al canale IRC

 Come il virus si inserisce nei processi Si inserisce come thread remoto in un processo.

    Nome del processo:
   • EXPLORER.EXE

   Se riuscito, il processo malware viene terminato mentre la parte inserita rimane attiva.

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Ana Maria Niculescu su venerdì 13 giugno 2008
Descrizione aggiornata da Andrei Gherman su giovedì 31 luglio 2008

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.