Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Autorun.zvj
Scoperto:11/02/2009
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:24.660 Byte
Somma di controllo MD5:a4e34591b7ec8e73b0d8aec161bf9395
Versione IVDF:7.01.02.09 - mercoledì 11 febbraio 2009

 Generale Metodo di propagazione:
   • Autorun feature (it)


Alias:
   •  Mcafee: W32/Autorun.worm.ex
   •  Panda: W32/Autorun.IST.worm
   •  Eset: Win32/AutoRun.Agent.JA
   •  Bitdefender: Trojan.Agent.AMQQ


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a certi siti web
   • Blocca l'accesso a siti web di sicurezza
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Modifica del registro

 File  Copia se stesso nelle seguenti posizioni. Questi file hanno dei byte casuali aggiunti in coda, pertanto possono differire dall'originale:
   • %WINDIR%\ini\ini.exe
   • %unità disco%\recycle.{%GUID%}\ini.exe



Sovrascrive un file.
%SYSDIR%\drivers\etc\hosts



Cancella la copia di se stesso eseguita inizialmente.



Cancella il seguente file:
   • %WINDIR%\Help\%all files%



Vengono creati i seguenti file:

%WINDIR%\ini\desktop.ini
%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%WINDIR%\ini\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%tutte le directory%\wsock32.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.nvc

%WINDIR%\ini\shit.vbs Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Script.11167

%WINDIR%\Tasks\°²×°.bat Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Autorun.zvj




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://w.wonthe.cn/**********
Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • http://w.ssddffgg.cn/d2/**********?mac=dKYBBzvozo&ver=1.3
Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • http://w.ssddffgg.cn/**********

 Registro I valori della seguente chiave di registro vengono rimossi:

–  [HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings]
   • ActiveDebugging
   • DisplayLogo
   • SilentTerminate
   • UseWINSAFER



Le seguenti chiavi di registro che includono tutti i valori e le sottochiavi, vengono rimosse:
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\]



Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}]
   • "@"="windir"
   • "stubpath"="%WINDIR%\ini\shit.vbs"

 Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti vengono cancellati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • 127.0.0.1 www.360.cn; 127.0.0.1 www.360safe.cn; 127.0.0.1
      www.360safe.com; 127.0.0.1 www.chinakv.com; 127.0.0.1
      www.rising.com.cn; 127.0.0.1 rising.com.cn; 127.0.0.1 dl.jiangmin.com;
      127.0.0.1 jiangmin.com; 127.0.0.1 www.jiangmin.com; 203.208.37.99
      www.duba.net; 127.0.0.1 www.eset.com.cn; 127.0.0.1 www.nod32.com;
      203.208.37.99 shadu.duba.net; 203.208.37.99 union.kingsoft.com;
      127.0.0.1 www.kaspersky.com.cn; 127.0.0.1 kaspersky.com.cn; 127.0.0.1
      virustotal.com; 127.0.0.1 www.kaspersky.com; 127.0.0.1 60.210.176.251;
      127.0.0.1 www.cnnod32.cn; 127.0.0.1 www.lanniao.org; 127.0.0.1
      www.nod32club.com; 127.0.0.1 www.dswlab.com; 127.0.0.1 bbs.sucop.com;
      127.0.0.1 www.virustotal.com; 127.0.0.1 tool.ikaka.com; 127.0.0.0
      360.qihoo.com; 127.0.0.1 qihoo.com; 127.0.0.1 www.qihoo.com; 127.0.0.1
      www.qihoo.cn; 127.0.0.1 124.40.51.17; 127.0.0.1 58.17.236.92


 Processi terminati Lista dei processi che vengono terminati:
   • rfwproxy.exe; rfwmain.exe; rfwsrv.exe; Navapsvc.exe; Navapw32.exe;
      EGHOST.EXE; FileDsty.exe; RavTask.exe; RavMonD.exe; UlibCfg.exe;
      CCenter.exe; RavMon.exe; RavLite.exe; Rav.exe; kasmain.exe;
      kissvc.exe; kavstart.exe; kwatch.exe; kav32.exe; 360Safe.exe; avp.exe;
      vptray.exe; mmsk.exe; FWMon.exe; THGUARD.EXE; TrojanHunter.exe;
      TBSCAN.EXE; WEBSCANX.EXE; Iparmor.exe; PFW.exe; AST.exe; ast.exe;
      360tray.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su venerdì 26 febbraio 2010
Descrizione aggiornata da Andrei Ivanes su martedì 2 marzo 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.