Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/AutoIt.YH
Scoperto:18/08/2010
Tipo:Worm
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:641.728 Byte
Somma di controllo MD5:a52344dbf51069a071bd6cf719ff8ddf
Versione IVDF:7.10.10.208 - mercoledì 18 agosto 2010

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Worm.Win32.AutoIt.yh
     Avast: AutoIt:Balero-C
   •  Panda: Trj/CI.A
     DrWeb: Win32.HLLW.Autoruner.based
     Ikarus: Worm.Win32.AutoIt


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effetti secondari:
   • Duplica file
   • Duplica file maligni
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\csrcs.exe
   • %SYSDIR%\%stringa di caratteri casuale%.exe
   • c:\%directory corrente%\%stringa di caratteri casuale%.exe



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\%stringa di caratteri casuale%
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\%stringa di caratteri casuale%

c:\%directory corrente%\s.cmd Viene eseguito ulteriormente dopo che stato completamente creato. Questo un file di testo non maligno che contiene informazioni sul programma stesso.



Prova a scaricare dei file:

La posizione la seguente:
   • http://fl**********.exe
Viene salvato in locale sotto: %SYSDIR%\RegShellSM.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato.

La posizione la seguente:
   • http://9**********.exe
Viene salvato in locale sotto: %SYSDIR%\ip.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato.

 Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "csrcs"="%SYSDIR%\csrcs.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002
   • "SuperHidden"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"=dword:00000001



Vengono aggiunte le seguenti chiavi di registro:

[HKLM\Software\Microsoft\DRM\amty]
   • "ilop"="1"
   • "fix"=""
   • "fix1"="1"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Carlos Valero Llabata su venerdì 20 agosto 2010
Descrizione aggiornata da Andrei Ivanes su giovedì 26 agosto 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.