Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Autorun.bft
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:低程度至中程度
破坏 / 损害程度:低程度至中程度
静态文件:
文件大小:453.394 字节
MD5 校检和:ab1bf0316b7fd768c11958001d37b640
VDF 版本:7.11.53.216 - 2012년 12월 13일 목요일
IVDF 版本:7.11.53.216 - 2012년 12월 13일 목요일

 况概描述 传播方法:
   • 局域网络


别名:
   •  Symantec: W32.Imaut
   •  Kaspersky: Trojan.Win32.Autoit.dt
   •  F-Secure: Trojan.Win32.Autoit.dt


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 下载文件
   • 植入文件
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %SYSDIR%\csrcs.exe
   • %网络共享%\%随机字符串%.exe



它会删除其本身最初执行的副本。



创建以下文件:

– 之后可删除的临时文件:
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\%随机字符串%
   • %TEMPDIR%\%随机字符串%

– %SYSDIR%\autorun.inf 这是一个无恶意的文本文件,包含以下内容:
   • %运行恶意软件代码%

– %TEMPDIR%\suicide.bat 成功创建后,它会被执行。 此批处理文件用于删除文件。



它会尝试下载一些文件:

– 该位置如下所示:
   • http://www.whatismyip.com/**********/n09230945.asp
它会保存在硬盘驱动器以下的位置: %temporary internet files%\Content.IE5\%随机字符串%\n09230945[1].htm

– 该位置如下所示:
   • http://sousi.extasix.com/**********.htm
它会保存在硬盘驱动器以下的位置: %temporary internet files%\Content.IE5\%随机字符串%\genst[1].htm

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe csrcs.exe"



会添加以下注册表项目注册值:

– [HKLM\SOFTWARE\Microsoft\DRM\amty]
   • "ilop"="1"
   • "fix"=""
   • "exp1"="%十六进制值%"
   • "dreg"="%十六进制值%"
   • "eggol"="0"
   • "regexp"="%数字%"



会更改以下注册表项:

各种 Explorer 设置:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   新值:
   • "csrcs"="c:\windows\\system32\\csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   新值:
   • "Hidden"=dword:00000002
     "SuperHidden"=dword:00000000
     "ShowSuperHidden"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   新值:
   • "CheckedValue"=dword:00000001

 网络感染 该恶意软件会尝试以下方式连接其他计算机来作广泛传播/感染。

它会将其本身的副本植入以下网络共享中:
   • %网络共享%\%随机字符串%.exe

 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用以下运行时压缩程序进行压缩:
   • UPX

설명 삽입자 Andreas Feuerstein   2008년 9월 11일 목요일
설명 업데이트 Andreas Feuerstein   2008년 9월 16일 화요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.