English
Deutsch
Français
Español
Italiano
Home
Minacce
DR/Autoit.I.1
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
DR/Autoit.I.1 - Dropper
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
DR/Autoit.I.1
Scoperto:
21/09/2007
Tipo:
Dropper
In circolazione (ITW):
Si
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Basso
Potenziale di danni:
Medio
File statico:
Si
Dimensione del file:
215.456 Byte
Somma di controllo MD5:
69718103c21fd0e647d47c364758f215
Versione IVDF:
6.39.01.161
Generale
Metodo di propagazione:
• Unità di rete mappata
Alias:
• Kaspersky: Worm.Win32.AutoIt.i
• F-Secure: Worm.Win32.AutoIt.i
• Sophos: W32/SillyFDC-AP
• Eset: Win32/Autoit.AZ worm
• Bitdefender: Win32.Worm.Autoit.P
Piattaforme / Sistemi operativi:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Scarica file
• Duplica un file
• Abbassa le impostazioni di sicurezza
• Modifica del registro
File
Si copia alla seguente posizione:
•
%SYSDIR%
\msmsgs.exe
–
%WINDIR%
\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
• [autorun]
open=system.exe
shellexecute=system.exe
shell\Explore\command=system.exe
shell\Open\command=system.exe
shell=Explore
Prova a scaricare dei file:
– La posizione è la seguente:
• http://ppt.th.gs/**********/bad1.exe
Viene salvato in locale sotto:
%SYSDIR%
\bad1.exe Al momento dell'analisi questo file non era più disponibile.
– La posizione è la seguente:
• http://ppt.th.gs/**********/bad2.exe
Viene salvato in locale sotto:
%SYSDIR%
\bad2.exe Al momento dell'analisi questo file non era più disponibile.
– La posizione è la seguente:
• http://ppt.th.gs/**********/bad3.exe
Viene salvato in locale sotto:
%SYSDIR%
\bad3.exe Al momento dell'analisi questo file non era più disponibile.
Registro
Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• SYS1="
%SYSDIR%
\system.exe"
• SYS2="
%SYSDIR%
\bad1.exe"
• SYS3="
%SYSDIR%
\bad2.exe"
• SYS4="
%SYSDIR%
\bad3.exe"
• Msmsgs="
%SYSDIR%
\Msmsgs.exe"
Vengono cambiate le seguenti chiavi di registro:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Nuovo valore:
• SuperHidden=dword:00000000
• ShowSuperHidden=dword:00000000
• HideFileExt=dword:00000001
• Hidden=dword:00000002
Disattiva il Regedit e il Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
Nuovo valore:
• DisableTaskMgr=dword:00000001
• DisableRegistryTools=dword:00000001
Varie opzioni di Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Nuovo valore:
• NoDriveTypeAutoRun=dword:0000005b
• NoFind=dword:00000001
• NoFolderOptions=dword:00000001
Dettagli del file
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Alexander Neth il Fri, 05 Sep 2008 09:44 (GMT+1)
Descrizione aggiornata da Alexander Neth il Fri, 05 Sep 2008 09:56 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Ricevete messaggi aggiornati da Avira in formato
Riconosce e rimuove un malware specifico e le relative varianti.
Scarica qui
Incorporate sul vostro sito Web la visualizzazione di un
avviso in caso di virus
© 2009 Avira GmbH
Copyright
|
Protezione dei dati
|
Mappa del sito
|
Feedback
|
Informazione legale
|
FAQ
|
Contatti
Minacce DR/Autoit.I.1
Stampa questa pagina
.gif)
