Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:WORM/AutoIt.psait
Scoperto:16/08/2011
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:305.653 Byte
Somma di controllo MD5:00C5EA2728BC3860548053B5C62624E0
Versione VDF:7.11.13.90 - martedì 16 agosto 2011
Versione IVDF:7.11.13.90 - martedì 16 agosto 2011

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  Symantec: W32.SillyFDC
   •  TrendMicro: BKDR_PATCH.OJ
   •  Microsoft: Trojan:Win32/Malagent


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica un file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • C:\system32\891249\154\2\4\52\34\5\5\2\34\5\234\5234\523452345\234\52345\23462\362\34\6523\452\346\234\52\345\24\624\36\234\62\346\2346\23\46\services.exe
   • C:\system\service.exe
   • C:\system32\system.com
   • C:\system32\cmd.com
   • C:\system32\ctfmon.com
   • C:\GoodNight\Fucking_Hero\file.com

 Registro La seguente chiave di registro è aggiunta continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "system"="C:\system32\system.com"
   • "ctfmon.exe"="C:\system32\ctfmon.com"



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\calc.exe]
   • "Debugger"="C:\system32\891249\154\2\4\52\34\5\5\2\34\5\234\5234\523452345\234\52345\23462\362\34\6523\452\346\234\52\345\24\624\36\234\62\346\2346\23\46\services.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
   • "DisableRegistryTools"=dword:00000001



Vengono cambiate le seguenti chiavi di registro:

Varie opzioni di Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "Hidden"=dword:00000002

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuovo valore:
   • "NoFolderOptions"=dword:00000001
   • "NoDriveTypeAutoRun"=dword:0000005b

 Backdoor Contatta il server:
Tutti i seguenti:
   • 67.215.77.**********:4600
   • 92.241.169.**********:4700


 Varie Anti debugging
Cerca il debugger o la macchina virtuale utilizzando tecniche legate al tempo.

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Ilie su giovedì 6 ottobre 2011
Descrizione aggiornata da Andrei Ilie su venerdì 7 ottobre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.