Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:WORM/Autorun.LD.187
Scoperto:17/08/2011
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:126.976 Byte
Somma di controllo MD5:16F902491090535D69774895FDE63BF4
Versione VDF:7.11.13.117 - mercoledì 17 agosto 2011
Versione IVDF:7.11.13.117 - mercoledì 17 agosto 2011

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  TrendMicro: Possible_Otorun8
   •  Sophos: Mal/SillyFDC-A
   •  Microsoft: Worm:Win32/Autorun.LD


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\SysSafe.exe
   • C:\info.exe

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe C:\info.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "B-A-I-D-U-C-O-M"="C:\info.exe"



Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\ControlSet001\Services\CryptSvc]
   • "Start"=dword:00000004



Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\avp.exe]
   • "Debugger"="C:\info.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\taskmgr.exe]
   • "Debugger"="C:\info.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\rfwmain.exe]
   • "Debugger"="C:\info.exe"



Vengono cambiate le seguenti chiavi di registro:

Varie opzioni di Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "Hidden"=dword:00000002

Pagina iniziale di Internet Explorer:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuovo valore:
   • "Start Page"="http://www.baidu.com.cn/"

 Come il virus si inserisce nei processi – Si inserisce come minaccia remota nei processi.

    Tutti i seguenti processi:
   • winlogon.exe
   • services.exe
   • userinit.exe
   • iexplore.exe
   • firefox.exe
   • msimn.exe
   • outlook.exe
   • explorer.exe
   • svchost.exe
   • rundll32.exe

   Se riuscito, il processo malware viene terminato mentre la parte inserita rimane attiva.

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su lunedì 10 ottobre 2011
Descrizione aggiornata da Andrei Ilie su martedì 11 ottobre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.