Nome del virus:Worm/Autorun.cbm.4
Scoperto:21/08/2008
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:233.472 Byte
Somma di controllo MD5:0658e57e4190ff5db50A3507b3ec2887
Versione VDF:7.00.06.50
Versione IVDF:7.00.06.51 - giovedì 21 agosto 2008

 Generale Metodo di propagazione:
   • Unità di rete mappata


Alias:
   •  Mcafee: W32/Autorun.worm.bm
   •  Kaspersky: Worm.Win32.AutoRun.cbm
   •  F-Secure: Worm.Win32.AutoRun.cbm
   •  Eset: Win32/AutoRun.PD
   •  Bitdefender: Trojan.Downloader.VB.AXY


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file
   • Duplica file
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %WINDIR%\userinit.exe
   • %SYSDIR%\system.exe
   • %unità disco%\Secret.exe



Vengono creati i seguenti file:

– File “non maligno”:
   • %SYSDIR%\MSWINSCK.OCX

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%WINDIR%\kdcoms.dll Questo file contiene le battute di tastiera recuperate.



Prova a scaricare un file:

– La posizione è la seguente:
   • http://fil**********pera.com/hav_online/files/task.rar

 Registro La seguente chiave di registro è aggiunta continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Userinit="%WINDIR%\userinit.exe"

 Backdoor Contatta il server:
Il seguente:
   • scs**********h.cx:8800


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.

Descrizione inserita da Ana Maria Niculescu su mercoledì 25 febbraio 2009
Descrizione aggiornata da Andrei Gherman su lunedì 2 marzo 2009

Indietro . . . .