VírusWorm/Autorun.aaer
Data em que surgiu:07/07/2010
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:757.317 Bytes
MD5 checksum:cea12765341e12c6b960c4470de391a2
Versão IVDF:7.10.09.33 - quarta-feira, 7 de julho de 2010

 Vulgarmente Meios de transmissão:
   • Recurso de execução automática
   • Messenger


Alias:
   •  Mcafee: W32/Yahlover.worm.gen.d virus
   •  Sophos: W32/AutoRun-AOA
   •  Bitdefender: Trojan.AutoIt.AIL
   •  Panda: W32/Autorun.JKR
   •  Eset: Win32/Autoit.EB


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\system3_.exe
   • %unidade%\system3_.exe
   • %SYSDIR%\system3_.exe



São criados os seguintes ficheiros:

%SYSDIR%\autorun.ini
%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://advgoogle.0catch.com/**********


– A partir das seguintes localizações:
   • http://www.balu000.0catch.com/set/**********
   • http://www.balu001.0catch.com/set/**********
   • http://www.balu002.0catch.com/set/**********
   • http://www.balu005.0catch.com/set/**********
   • http://www.balu006.0catch.com/set/**********
   • http://www.balu007.0catch.com/set/**********
   • http://www.balu008.0catch.com/set/**********
   • http://www.balu009.0catch.com/set/**********
   • http://www.balu010.0catch.com/set/**********
   • http://www.balu011.0catch.com/set/**********


– A partir da seguinte localização:
   • http://h1.ripway.com/asdb018/**********


– A partir da seguinte localização:
   • http://h1.ripway.com/asdb020/**********


– A partir da seguinte localização:
   • http://h1.ripway.com/asdb000/**********


– A partir da seguinte localização:
   • http://h1.ripway.com/asdb004/**********


– A partir da seguinte localização:
   • http://h1.ripway.com/asdb002/**********


– A partir da seguinte localização:
   • http://h1.ripway.com/asdb016/**********


– A partir da seguinte localização:
   • http://h1.ripway.com/asdb024/**********


– A partir da seguinte localização:
   • http://h1.ripway.com/asdb006/**********


– A partir da seguinte localização:
   • http://h1.ripway.com/asdb010/**********


– A partir da seguinte localização:
   • http://h1.ripway.com/asdb012/**********


– A partir da seguinte localização:
   • http://h1.ripway.com/asdb022/**********


– A partir da seguinte localização:
   • http://h1.ripway.com/asdb014/**********




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /C AT /delete /yes


– Executa um dos seguintes ficheiros:
   • AT /delete /yes


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\system3_.exe


– Executa um dos seguintes ficheiros:
   • AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\system3_.exe

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe system3_.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Yahoo Messengger"="%SYSDIR%\system3_.exe"



São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN]
   • "Default_Page_URL"="http://www.advgoogle.blogdpot.com"
   • "Default_Search_URL"="http://www.advgoogle.blogdpot.com"
   • "Search Page"="http://www.advgoogle.blogdpot.com"
   • "Start Page"="http://www.advgoogle.blogdpot.com"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Start Page"="http://www.advgoogle.blogdpot.com"

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– Yahoo Messenger

O URL aponta para uma cópia do malware descrito. Se o utilizador descarregar e executar este ficheiro terá início o processo de infecção do seu computador.

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quinta-feira, 19 de agosto de 2010
Descrição atualizada por Petre Galan em quinta-feira, 19 de agosto de 2010

Voltar . . . .