Nume:TR/PWS.94208.2
Descoperit pe data de:07/09/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:94.208 Bytes
MD5:bab4884c5d0240b3882d725297043609
Versiune IVDF:7.01.05.212 - lunedì 7 settembre 2009

 General Metoda de raspandire:
• Functia autorun


Alias:
   •  Mcafee: W32/Autorun.worm.h virus
   •  Panda: W32/Autorun.JEY
   •  Eset: Win32/AutoRun.VB.FX
   •  Bitdefender: Worm.Generic.83904


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %unitate disc%\Read1st!.exe
   • %unitate disc%\%toate directoarele%.exe



Sunt create fisierele:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %WINDIR%\shutdown.dll

 Registrii sistemului  Se sterg urmatoarele chei din registri, inclusiv toate valorile si cheile subordnate:
   • [HKLM\SYSTEM\CurrentControlSet\Services\COMSysApp]
   • [HKLM\SYSTEM\CurrentControlSet\Services\SwPrv]
   • [HKLM\SYSTEM\CurrentControlSet\Services\TPAutoConnSvc]



Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
   Noua valoare:
   • "DisableSR"=dword:0x00000000
   • "RestoreDiskSpaceError"=dword:0x00000000

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Petre Galan su lunedì 14 dicembre 2009
Descrizione aggiornata da Petre Galan su lunedì 14 dicembre 2009

Indietro . . . .