Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Autorun.YD
Scoperto:19/05/2009
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:No
Versione VDF:7.01.03.226
Versione IVDF:7.01.03.229 - martedì 19 maggio 2009

 Generale Metodo di propagazione:
    Funzione di esecuzione automatica


Alias:
     Microsoft: Worm:Win32/Nabony.A
   •  Eset: Win32/AutoRun.Agent.YD


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %HOME%\Application Data\readere_lm.com
   • %SYSDIR%\acrobat.com
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\CD_RW.exe



Vengono creati i seguenti file:

%HOME%\Local Settings\Application Data\Microsoft\CD Burning\autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%

%HOME%\Application Data\dbf.ltb Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "updater"="%HOME%\Application Data\readere_lm.com"

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "updater"="%SYSDIR%\acrobat.com"



Viene aggiunta la seguente chiave di registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL
   • "CheckedValue"=dword:00000000



Viene cambiata la seguente chiave di registro:

Varie opzioni di Explorer:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Valore precedente:
   • "Hidden"=dword:00000002
   Nuovo valore:
   • "Hidden"=dword:00000000

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • PE Pack 1.0


Crittografia:
Crittografato: il codice del virus all'interno del file crittografato.

Descrizione inserita da Ana Maria Niculescu su giovedì 5 aprile 2012
Descrizione aggiornata da Andrei Gherman su giovedì 5 aprile 2012

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.