Full description

Nume:	TR/AgentMB.PEHAB9080094.1
Descoperit pe data de:	27/11/2008
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Scazut
Fisier static:	Da
Versiune IVDF:	7.01.00.149 - quinta-feira, 27 de novembro de 2008

General Alias:
   • Symantec: W32.Harakit
   • Mcafee: W32/Autorun.worm.cj
   • Panda: W32/Autoit.BT
   • Grisoft: Worm/Autoit.GTF
   • Eset: Win32/Autoit.FO
   • Bitdefender: Trojan.AgentMB.PEHAB9080094

Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza fisiere
   • Modificari in registri

Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\system32 \csrcs.exe

Sterge copia initiala a virusului.

Este creat fisierul:

– %SYSDIR%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %TEMPDIR%\suicide.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

Incearca se execute urmatorul fisier:

– Numele fisierului:
   • %TEMPDIR%\suicide.bat
Fisierul batch este folosit pentru stergerea unui fisier.

Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe csrcs.exe"

Valorile urmatoarei chei sunt sterse din registrii sistemului:

– [HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings]
   • "ProxyServer"
   • "ProxyOverride"
   • "AutoConfigURL"

Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\DRM\amty]
   • "ilop"="1"
   • "exp1"="408406541BC5BBE4DC197A2A0C46B9AFF2F90D96B151D7C7BCBD177741EE95F062E634D70EB70FB65FC8FBF0EC312619"
   • "dreg"="408406541BC5BBE4DC197A2A0C46B9ACF2F90D96B151D7C7BCBD177641EE95F562E634D70EB70FB65FC8FBF0EC31276D8626D05B1ED70CC881A48DA07A7E649B"
   • "fix"=""
   • "fix1"="1"
   • "regexp"="-0.215134707364621"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"

Urmatoarele chei din registri sunt modificate:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "SuperHidden"=dword:00000000
     "Hidden"=dword:00000001
     "ShowSuperHidden"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Noua valoare:
   • "CheckedValue"=dword:00000001

Alte informatii Metode anti-debugging
Daca gaseste, afiseaza urmatorul mesaj si isi termina executia imediat:

Descrição enviada por Petre Galan em sexta-feira, 3 de julho de 2009
Descrição atualizada por Andrei Ivanes em segunda-feira, 17 de agosto de 2009

Voltar . . . .

Proteçao especial para PCs

Produtos gratuitos

Produtos mais populares

Todos os produtos

Soluçoes em pacote

Estaçoes de trabalho

Server

Soluçoes em pacote

Mail Gateways

Web Gateways

Plataformas de colaboraçao

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas