Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Autorun.VU.2
Scoperto:16/02/2010
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:No
Dimensione del file:296.243 Byte
Somma di controllo MD5:40A0F00E5CE34CD98AD47A76E0281DD6
Versione IVDF:7.10.04.76 - martedì 16 febbraio 2010

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  Mcafee: W32/Autorun.worm.gen.za
   •  Panda: W32/Autoit.KX


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:



Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzerà la seguente finestra:

 File Si copia alle seguenti posizioni:
   • %WINDIR%\Yotninam.exe
   • %sysdir%\Y0tninam.exe
   • %sysdir%\drivers\yotninam.exe



Vengono creati i seguenti file:

%WINDIR%\autorun.inf
%WINDIR%\msconfig.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "USBGuard"="%SYSDIR%\Y0tninam.exe"



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   • "Debugger"="%SYSDIR%\drivers\Yotninam.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   • "Debugger"="%SYSDIR%\drivers\Yotninam.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="explorer.exe,Yotninam.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\notepad.exe]
   • "Debugger"="%SYSDIR%\drivers\Yotninam.exe"

– [HKLM\Software\zbshareware]
   • "Name"="Laoag City"
   • "Code"="INVALID CODE"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\taskmgr.exe]
   • "Debugger"="%SYSDIR%\drivers\Yotninam.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   • "Debugger"="%SYSDIR%\drivers\Yotninam.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   • "Debugger"="%SYSDIR%\drivers\Yotninam.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\notepad.exe]
   • "Debugger"="%SYSDIR%\drivers\Yotninam.exe"



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\Software\zbshareware]
   Nuovo valore:
   • "Name"="Laoag City"
   • "Code"="INVALID CODE"

Varie opzioni di Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "Hidden"=dword:00000002
   • "HideFileExt"=dword:00000001
   • "SuperHidden"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuovo valore:
   • "NoDriveTypeAutoRun"=dword:0000005b
   • "NoFind"=dword:00000001
   • "NoFolderOptions"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuovo valore:
   • "Shell"="explorer.exe,sample.exe"

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Ilie su martedì 6 luglio 2010
Descrizione aggiornata da Andrei Ivanes su lunedì 12 luglio 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.