Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:WORM/AutoIt.xl.93
Scoperto:07/02/2011
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
Dimensione del file:941.168 Byte
Somma di controllo MD5:8681D07E3B3E24794459D8117A2EFEC8
Versione VDF:7.10.08.140
Versione IVDF:7.11.02.88 - lunedì 7 febbraio 2011

 Generale Metodo di propagazione:
    Funzione di esecuzione automatica


Alias:
   •  Symantec: W32.Harakit
   •  Kaspersky: Worm.Win32.AutoIt.xl
   •  TrendMicro: WORM_UTOTI.CON
   •  Bitdefender: Win32.Worm.AutoIT.FW
     Microsoft: Worm:Win32/Renocide


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effetti secondari:
   • Duplica un file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\csrcs.exe



Vengono creati i seguenti file:

%SYSDIR%\autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%

%TEMPDIR%\suicide.bat Questo file automatico utilizzato per cancellare un file.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



Viene aggiunta la seguente chiave di registro:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "GlobalUserOffline"=dword:00000000

 Backdoor Contatta il server:
Tutti i seguenti:
   • 67.215.77.**********:4600
   • 92.241.169.**********:4700


 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • www.whatismyip.com

Descrizione inserita da Andrei Ilie su martedì 12 luglio 2011
Descrizione aggiornata da Andrei Ilie su mercoledì 13 luglio 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.