Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Autorun.zvm
Scoperto:11/02/2009
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:24.660 Byte
Somma di controllo MD5:2b52021892bbcf14e2f672787eab388f
Versione IVDF:7.01.02.09 - mercoledì 11 febbraio 2009

 Generale Metodo di propagazione:
   • Autorun feature (it)


Alias:
   •  Mcafee: W32/Autorun.worm.ex
   •  Panda: W32/Autorun.IST.worm
   •  Eset: Win32/AutoRun.Agent.JA
   •  Bitdefender: Trojan.Agent.AMQN


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a certi siti web
   • Blocca l'accesso a siti web di sicurezza
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %unità disco%\recycle.{%CLSID%}\ini.exe



Copia se stesso nella seguente posizione. Questo file ha dei byte casuali aggiunti in coda, pertanto può differire dall'originale:
   • %WINDIR%\ini\ini.exe



Sovrascrive un file.
%SYSDIR%\drivers\etc\hosts



Vengono creati i seguenti file:

%WINDIR%\ini\desktop.ini
%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%PROGRAM FILES%\Common Files\Microsoft Shared\MSInfo\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%WINDIR%\Tasks\ Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.zvm

%WINDIR%\ini\shit.vbs Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Script.11167

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\admcgi\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\TextConv\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\VGX\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\bin\1033\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\bots\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\DAO\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\_vti_bin\_vti_adm\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\servsupp\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\admcgi\scripts\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\admisapi\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\Stationery\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\isapi\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\bin\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_aut\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\_vti_bin\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_adm\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\Triedit\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\_vti_bin\_vti_aut\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%WINDIR%\ini\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\Speech\1033\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\Speech\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\admisapi\scripts\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://w.wonthe.cn/**********
Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • http://w.ssddffgg.cn/d5/**********?mac=YHhYzoFSpF&ver=1.3
Al momento dell'analisi questo file non era più disponibile.

 Registro –  [HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings]
   • ActiveDebugging
   • DisplayLogo
   • SilentTerminate
   • UseWINSAFER



Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}]
   • "@"="windir"
   • "stubpath"=hex:25,77,69,6E,64,69,72,25,5C,69,6E,69,5C,73,68,69,74,2E,76,62,73,00

 Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti vengono cancellati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • 127.0.0.1 www.360.cn; 127.0.0.1 www.360safe.cn; 127.0.0.1
      www.360safe.com; 127.0.0.1 www.chinakv.com; 127.0.0.1
      www.rising.com.cn; 127.0.0.1 rising.com.cn; 127.0.0.1 dl.jiangmin.com;
      127.0.0.1 jiangmin.com; 127.0.0.1 www.jiangmin.com; 203.208.37.99
      www.duba.net; 127.0.0.1 www.eset.com.cn; 127.0.0.1 www.nod32.com;
      203.208.37.99 shadu.duba.net; 203.208.37.99 union.kingsoft.com;
      127.0.0.1 www.kaspersky.com.cn; 127.0.0.1 kaspersky.com.cn; 127.0.0.1
      virustotal.com; 127.0.0.1 www.kaspersky.com; 127.0.0.1 60.210.176.251;
      127.0.0.1 www.cnnod32.cn; 127.0.0.1 www.lanniao.org; 127.0.0.1
      www.nod32club.com; 127.0.0.1 www.dswlab.com; 127.0.0.1 bbs.sucop.com;
      127.0.0.1 www.virustotal.com; 127.0.0.1 tool.ikaka.com; 127.0.0.0
      360.qihoo.com; 127.0.0.1 qihoo.com; 127.0.0.1 www.qihoo.com; 127.0.0.1
      www.qihoo.cn; 127.0.0.1 124.40.51.17; 127.0.0.1 58.17.236.92


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su giovedì 25 febbraio 2010
Descrizione aggiornata da Petre Galan su venerdì 26 febbraio 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.