Nome del virus:Worm/Autorun.apt
Scoperto:09/09/2008
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:14.229 Byte
Somma di controllo MD5:efd0575398fa48583d501fb6b9f7b2d3
Versione IVDF:7.00.06.131 - martedì 9 settembre 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: W32.Rispif.A
   •  Kaspersky: Worm.Win32.AutoRun.msz
   •  F-Secure: Worm.Win32.AutoRun.msz
   •  Bitdefender: Win32.Worm.Autorun.LW


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Duplica un file
   • Clona un file “maligno”

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\wuauclt.exe
   • %SYSDIR%\dllcache\wuauclt.exe
   • C:\LIS.PIF



Vengono creati i seguenti file:

– c:\AUTORUN.INF Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

%SYSDIR%\Drivers\beep.sys Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Rootkit.Gen




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://m.c5x8.com/**********/10.exe
Viene salvato in locale sotto: C:\Documents and Settings\10.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: DR/Agent.abpb.1


– La posizione è la seguente:
   • http://m.c5x8.com/**********/9.exe
Viene salvato in locale sotto: C:\Documents and Settings\9.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Agent.AJVA.5


– La posizione è la seguente:
   • http://m.c5x8.com/**********/8.exe
Viene salvato in locale sotto: C:\Documents and Settings\8.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • http://m.c5x8.com/**********/7.exe
Viene salvato in locale sotto: C:\Documents and Settings\7.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • http://m.c5x8.com/**********/6.exe
Viene salvato in locale sotto: C:\Documents and Settings\6.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: DR/BHO.agk


– La posizione è la seguente:
   • http://m.c5x8.com/**********/5.exe
Viene salvato in locale sotto: C:\Documents and Settings\5.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • http://m.c5x8.com/**********/4.exe
Viene salvato in locale sotto: C:\Documents and Settings\4.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • http://m.c5x8.com/**********/3.exe
Viene salvato in locale sotto: C:\Documents and Settings\3.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.JKKF.16


– La posizione è la seguente:
   • http://m.c5x8.com/**********/2.exe
Viene salvato in locale sotto: C:\Documents and Settings\2.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: DR/Cinmus.rrl


– La posizione è la seguente:
   • http://m.c5x8.com/**********/1.exe
Viene salvato in locale sotto: C:\Documents and Settings\1.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Crypt.XPACK.Gen


– La posizione è la seguente:
   • http://m.c5x8.com/**********/x.gif
Viene salvato in locale sotto: %PROGRAM FILES%\ee.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi era una versione aggiornata del malware stesso.

 Processi terminati Lista dei processi che vengono terminati:
   • VsTskMgr.exe; Avp.EXE; AVP.COM; Iparmor.exeKVWSC.EXE; kvsrvxp.exe;
      kvsrvxp.kxp; KvXP.kxp; KRegEx.exe; ANTIARP.exe; VPTRAY.exe; VPC32.exe;
      scan32.exe; KASARP.exe; nod32krn.exe; nod32kui.exe; TBMon.exe;
      rfwmain.exe; RavStub.exe; rfwstub.exe; rfwProxy.exe; rfwsrv.exe;
      UpdaterUI.exe; KPfwSvc; kwatch.exe; KAVPFW.EXE; kavstart.exe;
      kmailmon.exe; GFUpd.exe; Ravxp.exe; GuardField.exe; RAVMOND.EXE;
      RAVMON.EXE; CCenter.EXE; RAv.exe; Runiep.exe; ArSwp.EXE; SREngLdr.EXE;
      msconfig.EXE; rfwsrv.EXE; rfwProxy.EXE; rfwstub.EXE; RavStub.EXE;
      rfwmain.EXE; GFUpd.EXE; GuardField.EXE; Runiep.EXE; kavstart.EXE;
      kmailmon.EXE; kwatch.EXE; RAV.EXE; KASARP.EXE; ANTIARP.EXE;
      VPTRAY.EXE; VPC32.EXE; AutoRunKiller.EXE; Regedit.EXE;
      WOPTILITIES.EXE; Ast.EXE; Mmsk.EXE

I processi che contengono una delle seguenti stringhe vengono terminati:
   • Norton AntiVirus Server; McAfee Framework; Symantec AntiVirus
      Definition Watcher; Symantec AntiVirus Drivers Services; Symantec
      AntiVirus; worm; anti; virus; Firewall; Mcafee; NOD32; McShield


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Thomas Wegele su mercoledì 10 settembre 2008
Descrizione aggiornata da Thomas Wegele su giovedì 11 settembre 2008

Indietro . . . .