Full description

病毒:	Worm/Autorun.VW.117
发现日期:	13/12/2012
类型:	蠕虫
广泛传播:	是
病毒传播个案呈报：	低程度
感染/传播能力：	低程度至中程度
破坏 / 损害程度：	中等程度
文件大小:	26.624 字节
MD5 校检和:	71A2BABAFD1C7D120EC784FDCE4E2DB0
VDF 版本:	7.11.53.216 - donderdag 13 december 2012
IVDF 版本:	7.11.53.216 - donderdag 13 december 2012

况概描述 传播方法:
   • 视窗自动运行Autorun功能

别名:
   • Kaspersky: Trojan.Win32.Scar.dkpb
   • TrendMicro: WORM_AUTORUN.DL
   • Sophos: W32/Autorun-BRR
   • Microsoft: Worm:Win32/Autorun.VW

平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7

副作用:
   • 第三方控件
   • 植入文件
   • 注册表修改

文件它将本身复制到以下位置:
   • %SYSDIR%\phqghu.exe
   • %驱动器%/usbrun.exe

创建以下文件:

– %驱动器%/autorun.inf 这是一个无恶意的文本文件，包含以下内容:
   • %运行恶意软件代码%

注册表在每个注册表项中添加以下某个注册值，以便在系统重新引导后运行进程:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"
   •

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "phqghu.exe"="%SYSDIR%\phqghu.exe"

后门程序 访问服务器:
以下所有内容:
   • roguenet.**********:3545
   • xeyaskaz.**********:3545

此外，它会周期性地重复连接。

远程控制功能:
    • 下载文件
    • 执行 DDoS 攻击
    • 访问网站

注入进程 – 它会将其本身作为远程线程注入到进程中。

进程名:
• explorer.exe

文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。

运行时压缩程序:
为了提高检测难度以及减小文件，它已使用以下运行时压缩程序进行压缩:
• UPX

Description inserted by Andrei Ilie on maandag 1 augustus 2011
Description updated by Andrei Ilie on dinsdag 2 augustus 2011

Terug . . . .

Mijn Account