Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
Nume:DR/Autoit.RL
Descoperit pe data de:14/10/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:927.495 Bytes
MD5:e26110b93d3e2b047f11cb9b3158cc35
Versiune IVDF:7.01.06.109 - miercuri, 14 octombrie 2009

 General Metoda de raspandire:
Functia autorun


Alias:
   •  Mcafee: W32/Renocide.c virus
   •  Sophos: W32/Autoit-HA
   •  Eset: Win32/AutoRun.Autoit.BL
   •  Bitdefender: Trojan.Generic.2590538


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\csrcs.exe
   • %unitate disc%\mijdwm.exe



Sterge copia initiala a virusului.



Sterge urmatorul fisier:
   • %TEMPDIR%\suicide.bat



Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • C:\%combinatie de caractere aleatoare%

%SYSDIR%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%TEMPDIR%\suicide.bat



Incearca sa descarce cateva fisiere:

Adresele sunt urmatoarele:
   • http://pimpumpam.orz.hm:48753/**********
   • http://lanlenio.or.tp:48753/**********
   • http://juirjeju.or.tp:48753/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

[HKLM\SOFTWARE\Microsoft\DRM\amty]
   • "dreg"="408406541BC5BBE4DC197A2A0C46B9ACF2F90D96B151D7C7BCBD177641EE95F562E634D70EB70FB65FC8FBF0EC31276D8626D05B1ED70CC881A48DA07A7E649B"
   • "exp1"="408406541BC5BBE4DC197A2A0C46B9ADF2F90D96B151D7C7BCBD177641EE95F162E634D70EB70FB65FC8FBF0EC312619"
   • "fix"=""
   • "fix1"="1"
   • "ilop"="1"
   • "regexp"="%numar%"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



Urmatoarele chei din registri sunt modificate:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Noua valoare:
   • "Shell"="Explorer.exe csrcs.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Noua valoare:
   • "GlobalUserOffline"=dword:0x00000000

 Reţea Generarea adreselor IP:
Genereaza adrese IP aleatoare, pastrand doar primii trei octeti din propria adresa. Apoi incearca sa contacteze adresele create.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Petre Galan em terça-feira, 15 de dezembro de 2009
Descrição atualizada por Petre Galan em terça-feira, 15 de dezembro de 2009

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.