Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:WORM/Autorun.VW.117
Scoperto:20/07/2011
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
Dimensione del file:26.624 Byte
Somma di controllo MD5:71A2BABAFD1C7D120EC784FDCE4E2DB0
Versione VDF:7.11.12.21 - mercoledì 20 luglio 2011
Versione IVDF:7.11.12.21 - mercoledì 20 luglio 2011

 Generale Metodo di propagazione:
    Funzione di esecuzione automatica


Alias:
   •  Kaspersky: Trojan.Win32.Scar.dkpb
   •  TrendMicro: WORM_AUTORUN.DL
   •  Sophos: W32/Autorun-BRR
     Microsoft: Worm:Win32/Autorun.VW


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\phqghu.exe
   • %unit disco%/usbrun.exe



Viene creato il seguente file:

%unit disco%/autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"
   •

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"

 Backdoor Contatta il server:
Tutti i seguenti:
   • roguenet.**********:3545
   • xeyaskaz.**********:3545

Inoltre periodicamente ripete la connessione.

Capacit di controllo remoto:
     Download di file
     Eseguire un attacco DdoS
     Visitare un sito web

 Come il virus si inserisce nei processi Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Ilie su lunedì 1 agosto 2011
Descrizione aggiornata da Andrei Ilie su martedì 2 agosto 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.