VírusWorm/Autorun.FY.1
Data em que surgiu:12/11/2007
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Baixo
Ficheiro estático:Sim
Tamanho:229.621 Bytes
MD5 checksum:ffeeecb3ab1bb248968a89c75671c792
Versão IVDF:7.00.00.200 - segunda-feira, 12 de novembro de 2007

 Vulgarmente Meio de transmissão:
   • Unidade de rede


Alias:
   •  Mcafee: W32/Autorun.worm.g virus
   •  Kaspersky: Worm.Win32.AutoRun.ek
   •  F-Secure: Worm.Win32.AutoRun.ek
   •  Sophos: W32/Imaut-A
   •  Grisoft: Worm/Autoit.HL
   •  Eset: Win32/Autoit.BD worm
   •  Bitdefender: Trojan.Autorun.ND


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Acesso à disquete
   • Descarrega um ficheiro
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\smss.exe
   • %WINDIR%\killer.exe
   • %WINDIR%\Funny UST Scandal.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\lsass.exe
   • %unidade%\smss.exe
   • %unidade%\Funny UST Scandal.avi.exe



É criado o seguinte ficheiro:

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • [autorun]
     open = smss.exe
     shell\Open\Command=smss.exe
     shell\Open\Default=1
     shell\Explore\Command=smss.exe
     shell\Autoplay\Command=smss.exe
     

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Runonce="%WINDIR%\smss.exe"



Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Shell="explorer.exe, killer.exe"



São adicionadas as seguintes chaves ao registo:

– [HKCR\.vbs]
   • (Default)="exefile" (Hidden)

– [HKCR\.reg]
   • (Default)="exefile" (Hidden)



O seguinte valor do registo é alterado:

Desactiva o Regedit e o Gestor de Tarefas:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valor anterior:
   • CheckedValue=dword:00000001
   Valor recente:
   • CheckedValue=dword:00000000

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Alexander Neth em segunda-feira, 14 de julho de 2008
Descrição atualizada por Alexander Neth em segunda-feira, 14 de julho de 2008

Voltar . . . .