VírusDR/Autoit.I.1
Data em que surgiu:21/09/2007
Tipo:Dropper
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:215.456 Bytes
MD5 checksum:69718103c21fd0e647d47c364758f215
Versão IVDF:6.39.01.161 - sexta-feira, 21 de setembro de 2007

 Vulgarmente Meio de transmissão:
   • Unidade de rede


Alias:
   •  Kaspersky: Worm.Win32.AutoIt.i
   •  F-Secure: Worm.Win32.AutoIt.i
   •  Sophos: W32/SillyFDC-AP
   •  Eset: Win32/Autoit.AZ worm
   •  Bitdefender: Win32.Worm.Autoit.P


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega um ficheiro
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\msmsgs.exe

%WINDIR%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • [autorun]
     open=system.exe
     shellexecute=system.exe
     shell\Explore\command=system.exe
     shell\Open\command=system.exe
     shell=Explore




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://ppt.th.gs/**********/bad1.exe
Encontra-se no disco rígido: %SYSDIR%\bad1.exe Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://ppt.th.gs/**********/bad2.exe
Encontra-se no disco rígido: %SYSDIR%\bad2.exe Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://ppt.th.gs/**********/bad3.exe
Encontra-se no disco rígido: %SYSDIR%\bad3.exe Ainda em fase de pesquisa.

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • SYS1="%SYSDIR%\system.exe"
   • SYS2="%SYSDIR%\bad1.exe"
   • SYS3="%SYSDIR%\bad2.exe"
   • SYS4="%SYSDIR%\bad3.exe"
   • Msmsgs="%SYSDIR%\Msmsgs.exe"



Altera as seguintes chaves de registo do Windows:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Valor recente:
   • SuperHidden=dword:00000000
   • ShowSuperHidden=dword:00000000
   • HideFileExt=dword:00000001
   • Hidden=dword:00000002

Home page do Internet Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   Valor recente:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Desactiva o Regedit e o Gestor de Tarefas:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Valor recente:
   • NoDriveTypeAutoRun=dword:0000005b
   • NoFind=dword:00000001
   • NoFolderOptions=dword:00000001

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Alexander Neth em sexta-feira, 5 de setembro de 2008
Descrição atualizada por Alexander Neth em sexta-feira, 5 de setembro de 2008

Voltar . . . .