English
Deutsch
Francais
Español
Italian
Home
Minacce
Worm/Autorun.apt
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
Worm/Autorun.apt - Worm
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
Worm/Autorun.apt
Scoperto:
09/09/2008
Tipo:
Worm
In circolazione (ITW):
Si
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Basso
Potenziale di danni:
Medio
File statico:
Si
Dimensione del file:
14.229 Byte
Somma di controllo MD5:
efd0575398fa48583d501fb6b9f7b2d3
Versione IVDF:
7.00.06.131
Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione
Alias:
• Symantec: W32.Rispif.A
• Kaspersky: Worm.Win32.AutoRun.msz
• F-Secure: Worm.Win32.AutoRun.msz
• Bitdefender: Win32.Worm.Autorun.LW
Piattaforme / Sistemi operativi:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Scarica file “maligni”
• Duplica un file
• Clona un file “maligno”
File
Si copia alle seguenti posizioni:
•
%SYSDIR%
\wuauclt.exe
•
%SYSDIR%
\dllcache\wuauclt.exe
• C:\LIS.PIF
Vengono creati i seguenti file:
– c:\AUTORUN.INF Questo è un file di testo “non maligno” con il seguente contenuto:
•
–
%SYSDIR%
\Drivers\beep.sys Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come:
TR/Rootkit.Gen
Prova a scaricare dei file:
– La posizione è la seguente:
• http://m.c5x8.com/**********/10.exe
Viene salvato in locale sotto: C:\Documents and Settings\10.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: DR/Agent.abpb.1
– La posizione è la seguente:
• http://m.c5x8.com/**********/9.exe
Viene salvato in locale sotto: C:\Documents and Settings\9.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Agent.AJVA.5
– La posizione è la seguente:
• http://m.c5x8.com/**********/8.exe
Viene salvato in locale sotto: C:\Documents and Settings\8.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.
– La posizione è la seguente:
• http://m.c5x8.com/**********/7.exe
Viene salvato in locale sotto: C:\Documents and Settings\7.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.
– La posizione è la seguente:
• http://m.c5x8.com/**********/6.exe
Viene salvato in locale sotto: C:\Documents and Settings\6.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: DR/BHO.agk
– La posizione è la seguente:
• http://m.c5x8.com/**********/5.exe
Viene salvato in locale sotto: C:\Documents and Settings\5.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.
– La posizione è la seguente:
• http://m.c5x8.com/**********/4.exe
Viene salvato in locale sotto: C:\Documents and Settings\4.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi questo file non era più disponibile.
– La posizione è la seguente:
• http://m.c5x8.com/**********/3.exe
Viene salvato in locale sotto: C:\Documents and Settings\3.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.JKKF.16
– La posizione è la seguente:
• http://m.c5x8.com/**********/2.exe
Viene salvato in locale sotto: C:\Documents and Settings\2.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: DR/Cinmus.rrl
– La posizione è la seguente:
• http://m.c5x8.com/**********/1.exe
Viene salvato in locale sotto: C:\Documents and Settings\1.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come:
TR/Crypt.XPACK.Gen
– La posizione è la seguente:
• http://m.c5x8.com/**********/x.gif
Viene salvato in locale sotto:
%PROGRAM FILES%
\ee.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Al momento dell'analisi era una versione aggiornata del malware stesso.
Processi terminati
Lista dei processi che vengono terminati:
• VsTskMgr.exe; Avp.EXE; AVP.COM; Iparmor.exeKVWSC.EXE; kvsrvxp.exe;
kvsrvxp.kxp; KvXP.kxp; KRegEx.exe; ANTIARP.exe; VPTRAY.exe; VPC32.exe;
scan32.exe; KASARP.exe; nod32krn.exe; nod32kui.exe; TBMon.exe;
rfwmain.exe; RavStub.exe; rfwstub.exe; rfwProxy.exe; rfwsrv.exe;
UpdaterUI.exe; KPfwSvc; kwatch.exe; KAVPFW.EXE; kavstart.exe;
kmailmon.exe; GFUpd.exe; Ravxp.exe; GuardField.exe; RAVMOND.EXE;
RAVMON.EXE; CCenter.EXE; RAv.exe; Runiep.exe; ArSwp.EXE; SREngLdr.EXE;
msconfig.EXE; rfwsrv.EXE; rfwProxy.EXE; rfwstub.EXE; RavStub.EXE;
rfwmain.EXE; GFUpd.EXE; GuardField.EXE; Runiep.EXE; kavstart.EXE;
kmailmon.EXE; kwatch.EXE; RAV.EXE; KASARP.EXE; ANTIARP.EXE;
VPTRAY.EXE; VPC32.EXE; AutoRunKiller.EXE; Regedit.EXE;
WOPTILITIES.EXE; Ast.EXE; Mmsk.EXE
I processi che contengono una delle seguenti stringhe vengono terminati:
• Norton AntiVirus Server; McAfee Framework; Symantec AntiVirus
Definition Watcher; Symantec AntiVirus Drivers Services; Symantec
AntiVirus; worm; anti; virus; Firewall; Mcafee; NOD32; McShield
Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Thomas Wegele il Wed, 10 Sep 2008 12:09 (GMT+1)
Descrizione aggiornata da Thomas Wegele il Thu, 11 Sep 2008 07:18 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
W32/Elkern.C
Worm/Mytob.AT
Worm/Mytob.U
Worm/Lovgate.W
Worm/Klez.E
DR/Agent.abpc
TR/Spy.Banker.okm.2
EXP/MS08-067.C
JAVA/Dldr.Small.A
TR/Spy.Banker.get
© 2008 Avira GmbH
Copyright
Protezione dei dati
Mappa del sito
Feedback
Informazione legale
FAQ
Contatti
Minacce Worm/Autorun.apt
Stampa questa pagina
