Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Autorun.bzjn
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度至高程度
破坏 / 损害程度:中等程度
文件大小:137.984 字节
MD5 校检和:615471A7DCC3A5B5AAF58B9B219BC27C
VDF 版本:7.11.53.216 - 2012년 12월 13일 목요일
IVDF 版本:7.11.53.216 - 2012년 12월 13일 목요일

 况概描述 传播方法:
   • 视窗自动运行Autorun功能
   • 网络驱动器映射


别名:
   •  Symantec: W32.Virut.CF
   •  Kaspersky: Worm.Win32.AutoRun.ckvt
   •  TrendMicro: WORM_AUTORUN.FKP


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


副作用:
   • 下载文件
   • 植入文件
   • 注册表修改
   • 窃取信息

 文件 它将本身复制到以下位置:
   • %ALLUSERSPROFILE%\Application Data\wmimgmt.exe
   • %驱动器%\%所有目录%.exe
   • %驱动器%\RECYCLER\wmimgmt.com



创建以下文件:

%驱动器%\autorun.inf 这是一个无恶意的文本文件,包含以下内容:
   • %运行恶意软件代码%

– %TEMPDIR%\avp.exe 进一步的调查表明,此文件是恶意软件。 检测为: TR/Orsam.A.7761

– %TEMPDIR%\drivers.p 此文件包含相关系统被搜集的信息。
– %TEMPDIR%\ghi.bat 进一步的调查表明,此文件是恶意软件。 检测为: BAT/Agent.DA

– %TEMPDIR%\temp.vih 包含由恶意软件使用的参数。
– %TEMPDIR%\INFO.TXT 此文件包含相关系统被搜集的信息。



它会尝试下载文件:

– 该位置如下所示:
   • http://**********.dumb1.com:80/PHqgHumeay5705.mp3
撰写本文时,此文件并未联机作深入调查。

 注册表 会添加以下注册表项目注册值:

– [HKLM\SYSTEM\ControlSet001\Services\wuauserv\Parameters]
   • "ServiceDll"="%SYSDIR%\wuausrv.dll"



会更改以下注册表项:

各种 Explorer 设置:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   新值:
   • "UncheckedValue"=dword:00000000

– [HCKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   新值:
   • "ShowSuperHidden"=dowrd:00000000

 网络感染 该恶意软件会尝试以下方式连接其他计算机来作广泛传播/感染。

它会将其本身的副本植入以下网络共享中:
   • It copies itself in network shares using random names found on the victim's system.

 后门程序 访问服务器:
以下内容:
   • **********.dumb1.com:80

因此它可能会发送某些信息。

发送有关以下内容的信息:
    • Windows 操作系统信息

 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。

설명 삽입자 Andrei Ilie   2011년 8월 1일 월요일
설명 업데이트 Andrei Ilie   2011년 8월 3일 수요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.