English
Deutsch
Français
Español
Italiano
Home
Virus Info
DR/Autoit.I.1
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TechBlog
DR/Autoit.I.1 - Dropper
Ver também
Sumário
Descrição completa
Estatísticas
How would you rate this information?
Worthless
Excellent
Vírus
DR/Autoit.I.1
Data em que surgiu:
21/09/2007
Tipo:
Dropper
Incluído na lista "In The Wild"
Sim
Nível de danos:
Baixo
Nível de distribuição:
Baixo
Nível de risco:
Médio
Ficheiro estático:
Sim
Tamanho:
215.456 Bytes
MD5 checksum:
69718103c21fd0e647d47c364758f215
Versão IVDF:
6.39.01.161
Vulgarmente
Meio de transmissão:
• Unidade de rede
Alias:
• Kaspersky: Worm.Win32.AutoIt.i
• F-Secure: Worm.Win32.AutoIt.i
• Sophos: W32/SillyFDC-AP
• Eset: Win32/Autoit.AZ worm
• Bitdefender: Win32.Worm.Autoit.P
Sistemas Operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efeitos secundários:
• Descarrega ficheiros
• Descarrega um ficheiro
• Baixa as definições de segurança
• Altera o registo do Windows
Ficheiros
Autocopia-se para a seguinte localização:
•
%SYSDIR%
\msmsgs.exe
–
%WINDIR%
\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
• [autorun]
open=system.exe
shellexecute=system.exe
shell\Explore\command=system.exe
shell\Open\command=system.exe
shell=Explore
Tenta efectuar o download de alguns ficheiros:
– A partir da seguinte localização:
• http://ppt.th.gs/**********/bad1.exe
Encontra-se no disco rígido:
%SYSDIR%
\bad1.exe Ainda em fase de pesquisa.
– A partir da seguinte localização:
• http://ppt.th.gs/**********/bad2.exe
Encontra-se no disco rígido:
%SYSDIR%
\bad2.exe Ainda em fase de pesquisa.
– A partir da seguinte localização:
• http://ppt.th.gs/**********/bad3.exe
Encontra-se no disco rígido:
%SYSDIR%
\bad3.exe Ainda em fase de pesquisa.
Registry (Registo do Windows)
Um dos seguintes valores é adicionado para executar o processo depois reinicializar:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• SYS1="
%SYSDIR%
\system.exe"
• SYS2="
%SYSDIR%
\bad1.exe"
• SYS3="
%SYSDIR%
\bad2.exe"
• SYS4="
%SYSDIR%
\bad3.exe"
• Msmsgs="
%SYSDIR%
\Msmsgs.exe"
Altera as seguintes chaves de registo do Windows:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Valor recente:
• SuperHidden=dword:00000000
• ShowSuperHidden=dword:00000000
• HideFileExt=dword:00000001
• Hidden=dword:00000002
Home page do Internet Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
Valor recente:
• DisableTaskMgr=dword:00000001
• DisableRegistryTools=dword:00000001
Desactiva o Regedit e o Gestor de Tarefas:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Valor recente:
• NoDriveTypeAutoRun=dword:0000005b
• NoFind=dword:00000001
• NoFolderOptions=dword:00000001
Detalhes do ficheiro
Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX
Veja
aqui
uma breve descrição.
Descrição adicionada por Alexander Neth em Fri, 05 Sep 2008 09:44 (GMT+1)
Descrição adicionada por Alexander Neth em Fri, 05 Sep 2008 09:56 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Get comfortable up to the minute info from Avira as
Detects and removes distinct malware and its variants.
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
|
Privacy
|
Sitemap
|
Feedback
|
Imprint
|
FAQ
|
Contact
Virus Info DR/Autoit.I.1
Print this page
.gif)
