Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:WORM/Autorun.chwz
Scoperto:29/04/2011
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
Dimensione del file:90.112 Byte
Somma di controllo MD5:94A72F8B07B15A0CE37302D6B1205856
Versione VDF:7.11.07.83 - venerdì 29 aprile 2011
Versione IVDF:7.11.07.83 - venerdì 29 aprile 2011

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: W32/YahLover.worm
   •  Kaspersky: Worm.Win32.AutoRun.chwz
   •  TrendMicro: WORM_AUTORUN.CON
     Microsoft: VirTool:Win32/CeeInject.gen!ED
   •  Panda: W32/Ircbot.DAC.worm


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effetti secondari:
   • Duplica un file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %APPDATA%\windows32.exe

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"



Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

[HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"



Vengono aggiunte le seguenti chiavi di registro:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "Start Page"="http://redirecturls.**********"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"



Viene cambiata la seguente chiave di registro:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Nuovo valore:
   • "ParseAutoexec"="1"

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su mercoledì 13 luglio 2011
Descrizione aggiornata da Andrei Ilie su lunedì 18 luglio 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.