Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Autorun.bns
Scoperto:31/07/2009
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:76.288 Byte
Somma di controllo MD5:c00e51fba9f3b275436ce22c57772ca5
Versione IVDF:7.01.05.55 - venerdì 31 luglio 2009

 Generale Metodo di propagazione:
• Autorun feature (it)
   • Messenger


Alias:
   •  Sophos: W32/Autorun-AVF
   •  Panda: W32/IRCBot.CPZ.worm
   •  Eset: Win32/Agent.NGR
   •  Bitdefender: Win32.Worm.IMStealer.I


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %TEMPDIR%\vshost32.exe
   • %unità disco%\vshost.exe



Viene creato il seguente file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •




Prova a scaricare un file:

– Le posizioni sono le seguenti:
   • http://win.studyingcenter-org.com/**********?p1=%numero%&p2=USA&n=1
   • http://ns.dunno-net.com/**********?p1=%numero%&p2=USA&n=1
   • http://fubar.cheapsocks.cn/**********?p1=%numero%&p2=USA&n=1
Al momento dell'analisi questo file non era più disponibile.

 Registro Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuovo valore:
   • "Userinit"="%SYSDIR%\userinit.exe,%TEMPDIR%\vshost32.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuovo valore:
   • "BuildID"=dword:0xd3adc0de

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– AIM Messenger
– Yahoo Messenger


A:
Tutti i dati immessi nella lista dei contatti.


Propagazione via file
Invia un file con il seguente nome:
   • vshost.exe

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su lunedì 14 dicembre 2009
Descrizione aggiornata da Petre Galan su lunedì 14 dicembre 2009

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.