Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Autorun.aaer
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度至中程度
感染/传播能力:低程度至中程度
破坏 / 损害程度:低程度至中程度
静态文件:
文件大小:757.317 字节
MD5 校检和:cea12765341e12c6b960c4470de391a2
VDF 版本:7.11.53.216 - 2012년 12월 13일 목요일
IVDF 版本:7.11.53.216 - 2012년 12월 13일 목요일

 况概描述 传播方法:
   • 视窗自动运行Autorun功能
   • Messenger


别名:
   •  Mcafee: W32/Yahlover.worm.gen.d virus
   •  Sophos: W32/AutoRun-AOA
   •  Bitdefender: Trojan.AutoIt.AIL
   •  Panda: W32/Autorun.JKR
   •  Eset: Win32/Autoit.EB


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 下载恶意文件
   • 植入恶意文件
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %WINDIR%\system3_.exe
   • %驱动器%\system3_.exe
   • %SYSDIR%\system3_.exe



创建以下文件:

– %SYSDIR%\autorun.ini
%驱动器%\autorun.inf 这是一个无恶意的文本文件,包含以下内容:
   • %运行恶意软件代码%




它会尝试下载一些文件:

– 该位置如下所示:
   • http://advgoogle.0catch.com/**********


– 这些位置如下所示:
   • http://www.balu000.0catch.com/set/**********
   • http://www.balu001.0catch.com/set/**********
   • http://www.balu002.0catch.com/set/**********
   • http://www.balu005.0catch.com/set/**********
   • http://www.balu006.0catch.com/set/**********
   • http://www.balu007.0catch.com/set/**********
   • http://www.balu008.0catch.com/set/**********
   • http://www.balu009.0catch.com/set/**********
   • http://www.balu010.0catch.com/set/**********
   • http://www.balu011.0catch.com/set/**********


– 该位置如下所示:
   • http://h1.ripway.com/asdb018/**********


– 该位置如下所示:
   • http://h1.ripway.com/asdb020/**********


– 该位置如下所示:
   • http://h1.ripway.com/asdb000/**********


– 该位置如下所示:
   • http://h1.ripway.com/asdb004/**********


– 该位置如下所示:
   • http://h1.ripway.com/asdb002/**********


– 该位置如下所示:
   • http://h1.ripway.com/asdb016/**********


– 该位置如下所示:
   • http://h1.ripway.com/asdb024/**********


– 该位置如下所示:
   • http://h1.ripway.com/asdb006/**********


– 该位置如下所示:
   • http://h1.ripway.com/asdb010/**********


– 该位置如下所示:
   • http://h1.ripway.com/asdb012/**********


– 该位置如下所示:
   • http://h1.ripway.com/asdb022/**********


– 该位置如下所示:
   • http://h1.ripway.com/asdb014/**********




它会尝试执行以下文件:

– 文件名:
   • %SYSDIR%\cmd.exe /C AT /delete /yes


– 文件名:
   • AT /delete /yes


– 文件名:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\system3_.exe


– 文件名:
   • AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\system3_.exe

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe system3_.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Yahoo Messengger"="%SYSDIR%\system3_.exe"



会添加以下注册表项目注册值:

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN]
   • "Default_Page_URL"="http://www.advgoogle.blogdpot.com"
   • "Default_Search_URL"="http://www.advgoogle.blogdpot.com"
   • "Search Page"="http://www.advgoogle.blogdpot.com"
   • "Start Page"="http://www.advgoogle.blogdpot.com"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Start Page"="http://www.advgoogle.blogdpot.com"

 Messenger 它是通过 Messenger 传播的。 下面说明了它的特征:

– Yahoo Messenger

该 URL 随后会引用所述恶意软件的副本。 如果用户下载并执行此文件,该感染进程会再次启动。

 文件详细信息 运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

설명 삽입자 Petre Galan   2010년 8월 19일 목요일
설명 업데이트 Petre Galan   2010년 8월 19일 목요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.