Nume:Worm/AutoIt.BEK
Descoperit pe data de:29/10/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:387.584 Bytes
MD5:c718e513f104913699362bd588364363
Versiune IVDF:7.01.00.09 - mercoledì 29 ottobre 2008

 General Metoda de raspandire:
   • Functia autorun


Alias:
   •  Mcafee: W32/YahLover.worm.gen virus
   •  Sophos: Mal/Generic-A
   •  Panda: W32/Autorun.IOI
   •  Eset: Win32/AutoRun.WJ
   •  Bitdefender: Trojan.Generic.326271


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %unitate disc%\logoneui.exe
   • %WINDIR%\web\connection.dat
   • %SYSDIR%\logoneui.exe
   • %unitate disc%\Jojo.exe
   • %unitate disc%\Zidan vs Tito.exe
   • %unitate disc%\Maradona.exe
   • %unitate disc%\%toate directoarele%\%directory name%.exe



Sterge urmatorul fisier:
   • C:\boot.ini



Sunt create fisierele:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %WINDIR%\Tasks\At1.job
%unitate disc%\info.bat
– %SYSDIR%\autorun.ini
– %SYSDIR%\boote\boot.ini

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "firewall 2008"="%SYSDIR%\logoneui.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   • "HomePage"="1"



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Noua valoare:
   • "Shell"="Explorer.exe logoneui.exe"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Noua valoare:
   • "Start Page"="http://famous2.topcities.com"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "Hidden"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   Noua valoare:
   • "AtTaskMaxHours"=dword:0x00000000
   • "NextAtJobId"=dword:0x00000002

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Noua valoare:
   • "NofolderOptions"=dword:0x00000001

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Petre Galan su venerdì 5 marzo 2010
Descrizione aggiornata da Petre Galan su venerdì 5 marzo 2010

Indietro . . . .