Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusDR/Autoit.aft.185
Data em que surgiu:02/07/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:583.480 Bytes
MD5 checksum:c6342635d5763c5d90778e8fe4062de1
Versão IVDF:7.10.08.246 - sexta-feira, 2 de julho de 2010

 Vulgarmente Meios de transmissão:
   • Recurso de execução automática
   • Rede local


Alias:
   •  Mcafee: W32/Autorun.worm.zf.gen
   •  Bitdefender: Trojan.Generic.4759704
   •  Panda: Trj/Autoit.gen
   •  Eset: Win32/Tifaut.D


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\csrcs.exe
   • %unidade%\%seis caracteres aleatórios%.exe
   • %SYSDIR%\54404430.exe



Apaga a cópia executada inicialmente.



Elimina os seguintes ficheiros:
   • %SYSDIR%\acledit.dll
   • %SYSDIR%\aaaamon.dll
   • %TEMPDIR%\aut%letra% .tmp
   • %SYSDIR%\aaclient.dll
   • %SYSDIR%\access.cpl
   • %SYSDIR%\$winnt$.inf
   • %SYSDIR%\accwiz.exe
   • %SYSDIR%\aclui.dll
   • %SYSDIR%\6to4svc.dll
   • %SYSDIR%\acctres.dll
   • %TEMPDIR%\%uma série de caracteres aleatórios%
   • %SYSDIR%\12520850.cpx
   • %SYSDIR%\activeds.dll
   • %SYSDIR%\12520437.cpx



São criados os seguintes ficheiros:

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%SYSDIR%\RegShellSM.exe
%SYSDIR%\autorun.in
%TEMPDIR%\%uma série de caracteres aleatórios%
%TEMPDIR%\aut%letra% .tmp
%SYSDIR%\autorun.i
%unidade%\khx



Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://www.fake_trafic_test.vasthost.co.cc/test1/admin/**********?v=%número% &id=%caracteres%


– A partir da seguinte localização:
   • http://95.211.21.184:89/**********


– A partir da seguinte localização:
   • http://thepiratebay.org/top/**********


– A partir da seguinte localização:
   • http://www.0358c1ad.com:86/**********




Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\csrcs.exe


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /c net view %endereço IP%

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



O valor da seguinte chave Registo é eliminado:

–  [HKLM\Software\Microsoft\DRM\amty]
   • fir



É adicionada a seguinte chave de registo:

– [HKLM\Software\Microsoft\DRM\amty]
   • "bwp1"="noneed"
   • "cb3"="noneed"
   • "dreg"="%valores hex%"
   • "ep1"="noneed"
   • "exp1"="%valores hex%"
   • "hkx14"="noneed"
   • "ilop"="1"
   • "p1"="1"
   • "regexp"="-0.903692205091507"
   • "rp2"="noneed"



Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor recente:
   • "Shell"="Explorer.exe csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor recente:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valor recente:
   • "CheckedValue"=dword:0x00000001

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Exploit:
Faz uso do seguinte Exploit:
– MS05-039 (Vulnerability in Plug and Play)


Criação de endereços IP:
Gera endereços IP aleatoriamente, guardando somente os três primeiros octetos do seu endereço. De seguida tenta estabelecer ligação com os endereços gerados.

 Informações diversas  Procura uma ligação de internet contactando o seguinte web site:
   • http://www.whatismyip.com/automation/n09230945.asp


Mutex:
Cria o seguinte Mutex:
   • 6E523163793968624

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quarta-feira, 15 de dezembro de 2010
Descrição atualizada por Petre Galan em quarta-feira, 15 de dezembro de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.