Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:WORM/Autorun.bhko
Scoperto:17/05/2010
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:36.864 Byte
Somma di controllo MD5:7b508569587800f36a602faf565a44e2
Versione VDF:7.10.07.115

 Generale Metodo di propagazione:
   • Unitdi rete mappata


Alias:
   •  Symantec: W32.SillyFDC
   •  Kaspersky: Worm.Win32.AutoRun.bhko
   •  TrendMicro: WORM_AUTORUN.MTZ
   •  F-Secure: Trojan.Generic.4126632
   •  Sophos: Mal/SillyFDC-F
   •  Panda: W32/Autorun.JXY
   •  VirusBuster: Worm.AutoRun.APJH
   •  Eset: Win32/AutoRun.VB.PA
   •  Bitdefender: Trojan.Generic.4126632


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file maligno
   • Duplica file maligni
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %HOME%\%username%1\winlogon.exe



Viene creato il seguente file:

%HOME%\%username%1\VERSION.TXT Questo un file di testo non maligno con il seguente contenuto:
   • 190




Prova a scaricare dei file:

La posizione la seguente:
   • http://0-0-0-1-0-1-1-1-1-1-0-1-0-1-1-1-1-0-0-0-0-0-1-1-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.in**********
Viene salvato in locale sotto: %HOME%\%username%1\wlo.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Dropper.Gen


Le posizioni sono le seguenti:
   • http://0-0-0-1-0-1-1-1-1-1-0-1-0-1-1-1-1-0-0-0-0-0-1-1-1-1-1-1-1-1-1-.0-0-0-0-0-0-0-0-0-0-0-0-0-19-0-0-0-0-0-0-0-0-0-0-0-0-0.in**********
   •
Viene salvato in locale sotto: %HOME%\%username%1\winhelp32.exe Riconosciuto come: WORM/VBNA.B.370

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\%username%1\winlogon.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA Media Center Library"="%HOME%\%username%1\winlogon.exe"

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in Visual Basic.

Descrizione inserita da Alexandru Dinu su venerdì 9 luglio 2010
Descrizione aggiornata da Alexandru Dinu su venerdì 9 luglio 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.