Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Autorun.abo.28
Scoperto:14/06/2011
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
Dimensione del file:75.776 Byte
Somma di controllo MD5:95137EC06094CDBAB3FBBDE2E8FA30D7
Versione VDF:7.11.09.168 - martedì 14 giugno 2011
Versione IVDF:7.11.09.168 - martedì 14 giugno 2011

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  Mcafee: W32/Autorun.worm.h
   •  Kaspersky: Trojan-Dropper.Win32.TDSS.aoma
   •  TrendMicro: TROJ_KRYPTK.SM19
   •  Microsoft: Worm:Win32/Autorun.ABO


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\svrwsc.exe



Viene creato il seguente file:

%TEMPDIR%\Low%valori esadecimali%.tmp.bat Questo file automatico è utilizzato per cancellare un file.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SvrWsc"=""



Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc]
   • "Type"=dword:0000000a
   • "Start"=dword:00000002
   • "ErrorControl"="0"
   • "ImagePath"="\"%SYSDIR%\svrwsc.exe\""
   • "DisplayName"="Windows Security Center Service"
   • "ObjectName"="LocalSystem"
   • "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."

 Processi terminati Il seguente processo viene terminato:
   • svrwsc.exe


 Backdoor Contatta il server:
Il seguente:
   • mslivemicro.**********/flash/update/index.php

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

 Come il virus si inserisce nei processi – Si inserisce come minaccia remota nei processi.

    Tutti i seguenti processi:
   • winlogon.exe
   • services.exe
   • userinit.exe
   • iexplore.exe
   • firefox.exe
   • msimn.exe
   • outlook.exe
   • explorer.exe
   • svchost.exe
   • rundll32.exe

   Se riuscito, il processo malware viene terminato mentre la parte inserita rimane attiva.

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su lunedì 1 agosto 2011
Descrizione aggiornata da Andrei Ilie su mercoledì 3 agosto 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.