Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:WORM/Autorun.abo.37
Scoperto:22/06/2011
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:50.688 Byte
Somma di controllo MD5:80663742E6C0B212D0445B6DE39F65C4
Versione VDF:7.11.10.68 - mercoledì 22 giugno 2011
Versione IVDF:7.11.10.68 - mercoledì 22 giugno 2011

 Generale Metodo di propagazione:
    Funzione di esecuzione automatica


Alias:
   •  TrendMicro: TROJ_SPNR.11I711
   •  Sophos: Mal/Zbot-ASK
     Microsoft: Worm:Win32/Autorun.ABO


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\svrwsc.exe



Viene creato il seguente file:

%TEMPDIR%\Low%valori esadecimali%.tmp.bat Questo file automatico utilizzato per cancellare un file.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SvrWsc"=""



Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

[HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc]
   • "Type"=dword:0000000a
   • "Start"=dword:00000002
   • "ErrorControl"="0"
   • "ImagePath"="\"%SYSDIR%\svrwsc.exe\""
   • "DisplayName"="Windows Security Center Service"
   • "ObjectName"="LocalSystem"
   • "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."



Viene aggiunta la seguente chiave di registro:

[HKLM\SYSTEM\ControlSet001\Services\SvrWsc\Enum]
   • "@"="Root\LEGACY_SVRWSC\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Backdoor Contatta il server:
Uno dei seguenti:
   • **********etwop.ru:80
   • **********adert.ru:80


 Come il virus si inserisce nei processi  Si inserisce come minaccia remota nei processi.

    Tutti i seguenti processi:
   • winlogon.exe
   • services.exe
   • userinit.exe
   • iexplore.exe
   • firefox.exe
   • msimn.exe
   • outlook.exe
   • explorer.exe
   • svchost.exe
   • rundll32.exe

   Se riuscito, il processo malware viene terminato mentre la parte inserita rimane attiva.

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Ilie su venerdì 21 ottobre 2011
Descrizione aggiornata da Andrei Ilie su lunedì 24 ottobre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.