Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:WORM/Autorun.VW.117
Scoperto:20/07/2011
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
Dimensione del file:26.624 Byte
Somma di controllo MD5:71A2BABAFD1C7D120EC784FDCE4E2DB0
Versione VDF:7.11.12.21 - mercoledì 20 luglio 2011
Versione IVDF:7.11.12.21 - mercoledì 20 luglio 2011

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  Kaspersky: Trojan.Win32.Scar.dkpb
   •  TrendMicro: WORM_AUTORUN.DL
   •  Sophos: W32/Autorun-BRR
   •  Microsoft: Worm:Win32/Autorun.VW


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\phqghu.exe
   • %unità disco%/usbrun.exe



Viene creato il seguente file:

%unità disco%/autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"
   •

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"

 Backdoor Contatta il server:
Tutti i seguenti:
   • roguenet.**********:3545
   • xeyaskaz.**********:3545

Inoltre periodicamente ripete la connessione.

Capacità di controllo remoto:
    • Download di file
    • Eseguire un attacco DdoS
    • Visitare un sito web

 Come il virus si inserisce nei processi – Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Ilie su lunedì 1 agosto 2011
Descrizione aggiornata da Andrei Ilie su martedì 2 agosto 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.