Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Autorun.zus
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:低程度
破坏 / 损害程度:低程度至中程度
静态文件:
文件大小:24.660 字节
MD5 校检和:6eb4806dbb5dee97e4826c709a25ab1c
VDF 版本:7.11.53.216 - donderdag 13 december 2012
IVDF 版本:7.11.53.216 - donderdag 13 december 2012

 况概描述 传播方法:
   • 视窗自动运行Autorun功能


别名:
   •  Mcafee: W32/Autorun.worm.ex
   •  Sophos: W32/Autorun-AKF
   •  Panda: W32/Autorun.IST.worm
   •  Eset: Win32/AutoRun.Agent.JA
   •  Bitdefender: Trojan.Agent.AMQO


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 阻止对特定网站的访问
   • 阻止对安全网站的访问
   • 下载恶意文件
   • 植入恶意文件
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %驱动器%\recycle.{%CLSID%}



它会复制本身到以下位置。此文件中附加了随机字节或稍微更改,因此它可能与原始文件不同:
   • %WINDIR%\ini\ini.exe



它会覆盖一个文件。
– %SYSDIR%\drivers\etc\hosts



创建以下文件:

– %WINDIR%\ini\desktop.ini
%驱动器%\autorun.inf 这是一个无恶意的文本文件,包含以下内容:
   • %运行恶意软件代码%

– %PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %WINDIR%\Tasks\°²×°.bat 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.zus

– %WINDIR%\ini\shit.vbs 进一步的调查表明,此文件是恶意软件。 检测为: TR/Script.11167

– %PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\admcgi\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\TextConv\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\VGX\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\bin\1033\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\bots\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\DAO\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\_vti_bin\_vti_adm\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\servsupp\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\admcgi\scripts\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\admisapi\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\Stationery\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\isapi\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\bin\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_aut\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\_vti_bin\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\Speech\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_adm\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\Triedit\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\MSInfo\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\_vti_bin\_vti_aut\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %WINDIR%\ini\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\Speech\1033\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc

– %PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\40\admisapi\scripts\wsock32.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Autorun.nvc




它会尝试下载一些文件:

– 该位置如下所示:
   • http://w.wonthe.cn/**********
撰写本文时,此文件并未联机作深入调查。

– 该位置如下所示:
   • http://w.ssddffgg.cn/d6/**********?mac=zdbPkhsylw&ver=1.3
撰写本文时,此文件并未联机作深入调查。

 注册表 会删除以下注册表项的注册值:

–  [HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings]
   • ActiveDebugging
   • DisplayLogo
   • SilentTerminate
   • UseWINSAFER



会添加以下注册表项目注册值:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}]
   • "@"="windir"
   • "stubpath"="%WINDIR%\ini\shit.vbs"

 主机 会按如下所述对主机文件进行修改:

– 这种情况下,现有项目会被删除。

– 阻挡以下域名的访问:
   • 127.0.0.1 www.360.cn
   • 127.0.0.1 www.360safe.cn
   • 127.0.0.1 www.360safe.com
   • 127.0.0.1 www.chinakv.com
   • 127.0.0.1 www.rising.com.cn
   • 127.0.0.1 rising.com.cn
   • 127.0.0.1 dl.jiangmin.com
   • 127.0.0.1 jiangmin.com
   • 127.0.0.1 www.jiangmin.com
   • 203.208.37.99 www.duba.net
   • 127.0.0.1 www.eset.com.cn
   • 127.0.0.1 www.nod32.com
   • 203.208.37.99 shadu.duba.net
   • 203.208.37.99 union.kingsoft.com
   • 127.0.0.1 www.kaspersky.com.cn
   • 127.0.0.1 kaspersky.com.cn
   • 127.0.0.1 virustotal.com
   • 127.0.0.1 www.kaspersky.com
   • 127.0.0.1 60.210.176.251
   • 127.0.0.1 www.cnnod32.cn
   • 127.0.0.1 www.lanniao.org
   • 127.0.0.1 www.nod32club.com
   • 127.0.0.1 www.dswlab.com
   • 127.0.0.1 bbs.sucop.com
   • 127.0.0.1 www.virustotal.com
   • 127.0.0.1 tool.ikaka.com
   • 127.0.0.0 360.qihoo.com
   • 127.0.0.1 qihoo.com
   • 127.0.0.1 www.qihoo.com
   • 127.0.0.1 www.qihoo.cn
   • 127.0.0.1 124.40.51.17
   • 127.0.0.1 58.17.236.92


 文件详细信息 运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

Beschrijving ingevoegd door Petre Galan op vrijdag 26 februari 2010
Beschrijving bijgewerkt door Petre Galan op maandag 1 maart 2010

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.