PCの修理が必要ですか?
専門家に頼む
ウイルスDR/Autoit.X.28
タイプトロイの木馬
感染報告有りはい
感染報告
感染の可能性低~中
ダメージ・ポテンシャル低~中
スタティック・ファイルはい
ファイル・サイズ2.039.569 バイト
MD5 チェックサムf88648076d23fb08c04b5c1ec94f3965

 一般情報 感染方法
   • Autorun feature (jp)


別名
   •  McAfee(マカフィー) W32/Autorun.worm.f
   •  Sophos(ソフォス) Mal/Generic-A
   •  Panda W32/Hakaglan.B.worm
   •  Eset Win32/Sohanad.NFE
   •  ビットディフェンダー(Bitdefender): Worm.Autoit.B


プラットフォーム/OS:
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003


副作用
   • 悪意ファイルをダウンロードします。
   • 悪意ファイルを作成します。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %WINDIR%\regsvr.exe
   • %SYSDIR%\svchost .exe
   • %SYSDIR%\regsvr.exe
   • %ドライバ% \regsvr.exe
   • %ドライバ% \%すべてのディレクトリ%\%folder name% .exe



以下のファイルが作成されます:

%WINDIR%\Tasks\At1.job これは以下の内容を含む、悪意のないテキスト・ファイルです:
   •

%ドライバ% \autorun.inf これは以下の内容を含む、悪意のないテキスト・ファイルです:
   •

%SYSDIR%\setup.ini



ファイルをダウンロードしようとします:

– 場所は以下の通りです:
   • http://yahoo.com/**********.xls
   • http://www.yahoo.com/**********.xls


– 場所は以下の通りです:
   • http://www.yahoo.com/**********.doc
   • http://yahoo.com/**********.doc

 レジストリ 再起動後そのプロセスを実行するため、以下の値のうちの1つを追加します:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Msn Messsenger"="%SYSDIR%\regsvr.exe"



以下のレジストリ・キーが追加されます:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000000



以下のレジストリ・キーは変更されます:

– [HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   新しい値
   • "ProxyEnable"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   新しい値
   • "Shell"="Explorer.exe regsvr.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   新しい値
   • "AtTaskMaxHours"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   新しい値
   • "NofolderOptions"=dword:0x00000000

 ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2010年3月15日月曜日
説明の更新者 Petre Galan の 2010年3月15日月曜日

戻る . . . .
https:// このウィンドウは暗号化されています。