Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Autorun.zvm
Scoperto:11/02/2009
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:24.660 Byte
Somma di controllo MD5:2b52021892bbcf14e2f672787eab388f
Versione IVDF:7.01.02.09 - mercoledì 11 febbraio 2009

 Generale Metodo di propagazione:
    Autorun feature (it)


Alias:
   •  Mcafee: W32/Autorun.worm.ex
   •  Panda: W32/Autorun.IST.worm
   •  Eset: Win32/AutoRun.Agent.JA
   •  Bitdefender: Trojan.Agent.AMQN


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a certi siti web
   • Blocca l'accesso a siti web di sicurezza
   • Scarica file maligni
   • Duplica file maligni
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %unit disco%\recycle.{%CLSID%}\ini.exe



Copia se stesso nella seguente posizione. Questo file ha dei byte casuali aggiunti in coda, pertanto pu differire dall'originale:
   • %WINDIR%\ini\ini.exe



Sovrascrive un file.
%SYSDIR%\drivers\etc\hosts



Vengono creati i seguenti file:

%WINDIR%\ini\desktop.ini
%unit disco%\autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   •

%PROGRAM FILES%\Common Files\Microsoft Shared\MSInfo\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%WINDIR%\Tasks\ Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.zvm

%WINDIR%\ini\shit.vbs Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Script.11167

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\admcgi\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\TextConv\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\VGX\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\bin\1033\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\bots\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\DAO\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\_vti_bin\_vti_adm\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\servsupp\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\admcgi\scripts\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\admisapi\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\Stationery\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\isapi\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\bin\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_aut\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\_vti_bin\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_adm\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\Triedit\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\_vti_bin\_vti_aut\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%WINDIR%\ini\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\Speech\1033\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\Speech\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\admisapi\scripts\wsock32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc




Prova a scaricare dei file:

La posizione la seguente:
   • http://w.wonthe.cn/**********
Al momento dell'analisi questo file non era pi disponibile.

La posizione la seguente:
   • http://w.ssddffgg.cn/d5/**********?mac=YHhYzoFSpF&ver=1.3
Al momento dell'analisi questo file non era pi disponibile.

 Registro –  [HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings]
   • ActiveDebugging
   • DisplayLogo
   • SilentTerminate
   • UseWINSAFER



Viene aggiunta la seguente chiave di registro:

[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}]
   • "@"="windir"
   • "stubpath"=hex:25,77,69,6E,64,69,72,25,5C,69,6E,69,5C,73,68,69,74,2E,76,62,73,00

 Host L'host del file viene modificato come spiegato:

In questo caso i dati immessi gi esistenti vengono cancellati.

L'accesso ai seguenti domini effettivamente bloccato:
   • 127.0.0.1 www.360.cn; 127.0.0.1 www.360safe.cn; 127.0.0.1
      www.360safe.com; 127.0.0.1 www.chinakv.com; 127.0.0.1
      www.rising.com.cn; 127.0.0.1 rising.com.cn; 127.0.0.1 dl.jiangmin.com;
      127.0.0.1 jiangmin.com; 127.0.0.1 www.jiangmin.com; 203.208.37.99
      www.duba.net; 127.0.0.1 www.eset.com.cn; 127.0.0.1 www.nod32.com;
      203.208.37.99 shadu.duba.net; 203.208.37.99 union.kingsoft.com;
      127.0.0.1 www.kaspersky.com.cn; 127.0.0.1 kaspersky.com.cn; 127.0.0.1
      virustotal.com; 127.0.0.1 www.kaspersky.com; 127.0.0.1 60.210.176.251;
      127.0.0.1 www.cnnod32.cn; 127.0.0.1 www.lanniao.org; 127.0.0.1
      www.nod32club.com; 127.0.0.1 www.dswlab.com; 127.0.0.1 bbs.sucop.com;
      127.0.0.1 www.virustotal.com; 127.0.0.1 tool.ikaka.com; 127.0.0.0
      360.qihoo.com; 127.0.0.1 qihoo.com; 127.0.0.1 www.qihoo.com; 127.0.0.1
      www.qihoo.cn; 127.0.0.1 124.40.51.17; 127.0.0.1 58.17.236.92


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su giovedì 25 febbraio 2010
Descrizione aggiornata da Petre Galan su venerdì 26 febbraio 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.