VírusWorm/Autorun.cns.1
Data em que surgiu:17/03/2008
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:De médio a elevado
Ficheiro estático:Sim
Tamanho:258.605 Bytes
MD5 checksum:b72d63816a33badaa2e96c3ad4552640
Versão VDF:7.00.03.30
Versão IVDF:7.00.03.34 - segunda-feira, 17 de março de 2008

 Vulgarmente Meios de transmissão:
   • Unidade de rede


Alias:
   •  Mcafee: W32/Autorun.worm.c
   •  Kaspersky: Worm.Win32.AutoRun.cns
   •  F-Secure: Worm.Win32.AutoRun.cns
   •  Eset: Win32/Autoit.CA
   •  Bitdefender: Trojan.Autorun.QN


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega ficheiros
   • Baixa as definições de segurança
   • Altera o registo do Windows


Logo a seguir a ser visualizada a seguinte informação:



 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\explorcr.exe
   • %unidade%\explorcr.exe



Elimina os seguintes ficheiros:
   • %WINDIR%\system.ini
   • %WINDIR%\win.ini
   • C:\ntldr
   • %PROGRAM FILES%\ESET\nod32.exe
   • %PROGRAM FILES%\ESET\nod32krn.exe
   • %PROGRAM FILES%\ESET\nod32kui.exe
   • %PROGRAM FILES%\Windows Media Player\wmplayer.exe



São criados os seguintes ficheiros:

%WINDIR%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

 Registry (Registo do Windows) A chave seguinte é adicionada (num loop infinito) ao registo, para executar os processos depois de reinicializar.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "explorcr"="%SYSDIR%\explorcr.exe"



Altera as seguintes chaves de registo do Windows:

Home page do Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
   Valor anterior:
   • DisableTaskMgr=dword:00000000
   • DisableRegistryTools=dword:00000000
   Valor recente:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor anterior:
   • NoDriveTypeAutoRun=dword:00000091
   Valor recente:
   • NoDriveTypeAutoRun=dword:0000005b

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor anterior:
   • NoFolderOptions=dword:00000000
   Valor recente:
   • NoFolderOptions=dword:00000001

 Terminar o processo São pesquisados os seguintes textos nos processos activos. Se os encontrar os processos são terminados.:
   • cmd.exe
   • handydriver.exe
   • kerneldrive.exe
   • nod32krn.exe
   • nod32kui.exe
   • winsystem.exe
   • Wscript.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Ana Maria Niculescu em quarta-feira, 30 de julho de 2008
Descrição atualizada por Andrei Gherman em quinta-feira, 31 de julho de 2008

Voltar . . . .