Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:WORM/Autorun.qfe
Scoperto:30/06/2010
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:262.144 Byte
Somma di controllo MD5:a477ca82726e9998a5914cff90783f57
Versione VDF:7.10.03.202
Versione IVDF:7.10.08.233 - mercoledì 30 giugno 2010

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: W32.SillyFDC
   •  Mcafee: W32/Autorun.worm.bx
   •  Kaspersky: Worm.Win32.AutoRun.bqpq
   •  Sophos: Mal/Emogen-Y


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %PROGRAM FILES%\Common Files\svchost.exe



Vengono creati i seguenti file:

%tempdir%\xx%numero% Questo un file di testo non maligno con il seguente contenuto:
   • Retrieved system specific informations.

%PROGRAM FILES%\Common Files\log\%nome del computer%\%ora corrente%.cab.bak
%WINDIR%\drive.ini
%WINDIR%\log\%ora corrente%.cab

 Registro Vengono aggiunte le seguenti chiavi di registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"="dword:00000001"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   • "UncheckedValue"="dword:00000000"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%SYSDIR%\userinit.exe,%PROGRAM FILES%\Common Files\svchost.exe -s"

 Backdoor Invia informazioni riguardanti:
     Velocit della CPU
    • Tipo di CPU
     Hardware
     Indirizzo IP
     MAC address
     Informazioni sulla rete
     ID della piattaforma
     Directory di sistema
     Ora di sistema
     Directory di Windows
     Informazioni sul sistema operativo Windows

 Varie File falsificati:
Finge di essere il seguente processo: svchost.exe

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.

Descrizione inserita da Andrei Ilie su mercoledì 16 febbraio 2011
Descrizione aggiornata da Andrei Ilie su venerdì 18 febbraio 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.