Nume:TR/Autorun.S
Descoperit pe data de:21/08/2007
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu spre ridicat
Fisier static:Da
Marime:94.208 Bytes
MD5:75691359d5c9e0e7e09ce6cd1802bc31
Versiune IVDF:6.39.01.26 - terça-feira, 21 de agosto de 2007

 General Metoda de raspandire:
   • Discuri de retea mapate


Alias:
   •  Mcafee: W32/Autorun.worm.i.gen
   •  Kaspersky: Worm.Win32.AutoRun.wj
   •  F-Secure: Worm.Win32.AutoRun.wj
   •  Sophos: W32/SillyFDC-BJ
   •  Eset: Win32/AutoRun.LG
   •  Bitdefender: Trojan.Autorun.VN


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Reduce setarile de securitate
   • Modificari in registri


Imediat dupa lansarea in executie, pe ecran este afisat:



Dupa activare, ruleaza un program Windows care afiseaza urmatoarea fereastra:


 Fisiere Se copiaza in urmatoarele locatii:
   • C:\Documents and Settings\LocalService\services.exe
   • %SYSDIR%\drivers\smss.exe
   • %WINDIR%\winlogon.exe
   • %unitate disc%:\RECYCLER.exe
   • %unitate disc%:\Gwen(ISU) Scandal.exe
   • %unitate disc%:\Sex Video.exe
   • %unitate disc%:\zeluR maeTCP.exe
   • %toate directoarele%\%numele directorului curent%.exe



Redenumeste urmatoarele fisiere:

    •  %SYSDIR%\hal.dll în FuckUHal
    •  %WINDIR%\explorer.exe în FuckU
    •  %SYSDIR%\dllcache în FuckU
    •  %SYSDIR%\shell32.dll în FuckU1
    •  %SYSDIR%\ntoskrnl.dll în FuckU2



Sunt create fisierele:

%unitate disc%:\Autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%




Incearca se execute urmatorul fisier:

– Numele fisierului:
   • %PROGRAM FILES%\Windows Media Player\wmplayer.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • winlogon = %WINDIR%\winlogon.exe



Urmatoarea cheie din registri este modificata:

Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • HideFileExt = 1
   • SuperHidden = 1
   • ShowSuperHidden = 0

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.

Descrição enviada por Andrei Gherman em quarta-feira, 6 de agosto de 2008
Descrição atualizada por Andrei Gherman em quarta-feira, 6 de agosto de 2008

Voltar . . . .