Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:WORM/Autorun.qfe
Scoperto:30/06/2010
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:262.144 Byte
Somma di controllo MD5:a477ca82726e9998a5914cff90783f57
Versione VDF:7.10.03.202
Versione IVDF:7.10.08.233 - mercoledì 30 giugno 2010

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: W32.SillyFDC
   •  Mcafee: W32/Autorun.worm.bx
   •  Kaspersky: Worm.Win32.AutoRun.bqpq
   •  Sophos: Mal/Emogen-Y


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %PROGRAM FILES%\Common Files\svchost.exe



Vengono creati i seguenti file:

– %tempdir%\xx%numero% Questo è un file di testo “non maligno” con il seguente contenuto:
   • Retrieved system specific informations.

%PROGRAM FILES%\Common Files\log\%nome del computer%\%ora corrente%.cab.bak
%WINDIR%\drive.ini
%WINDIR%\log\%ora corrente%.cab

 Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"="dword:00000001"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   • "UncheckedValue"="dword:00000000"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%SYSDIR%\userinit.exe,%PROGRAM FILES%\Common Files\svchost.exe -s"

 Backdoor Invia informazioni riguardanti:
    • Velocità della CPU
    • Tipo di CPU
    • Hardware
    • Indirizzo IP
    • MAC address
    • Informazioni sulla rete
    • ID della piattaforma
    • Directory di sistema
    • Ora di sistema
    • Directory di Windows
    • Informazioni sul sistema operativo Windows

 Varie File falsificati:
Finge di essere il seguente processo: svchost.exe

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Andrei Ilie su mercoledì 16 febbraio 2011
Descrizione aggiornata da Andrei Ilie su venerdì 18 febbraio 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.