Имя:Worm/Autorun.cns.1
Обнаружен:17/03/2008
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От среднего до высокого
Файл статистики:Да
Размер файла:258.605 байт.
Контрольная сумма MD5:b72d63816a33badaa2e96c3ad4552640
Версия VDF:7.00.03.30
Версия IVDF:7.00.03.34 - понедельник, 17 марта 2008 г.

 Общее Методы распространения:
   • Подключенные сетевые диски


Псевдонимы (аliases):
   •  Mcafee: W32/Autorun.worm.c
   •  Kaspersky: Worm.Win32.AutoRun.cns
   •  F-Secure: Worm.Win32.AutoRun.cns
   •  Eset: Win32/Autoit.CA
   •  Bitdefender: Trojan.Autorun.QN


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Создает файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра


После запуска передается следующая информация:



 Файлы Создаются собственные копии:
   • %SYSDIR%\explorcr.exe
   • %Диск%\explorcr.exe



Удаляются следующие файлы:
   • %WINDIR%\system.ini
   • %WINDIR%\win.ini
   • C:\ntldr
   • %PROGRAM FILES%\ESET\nod32.exe
   • %PROGRAM FILES%\ESET\nod32krn.exe
   • %PROGRAM FILES%\ESET\nod32kui.exe
   • %PROGRAM FILES%\Windows Media Player\wmplayer.exe



Создаются следующие файлы:

%WINDIR%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

 Реестр Добавляется ключ реестра (бесконечный цикл) для повторного запуска процесса после перезагрузки системы.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "explorcr"="%SYSDIR%\explorcr.exe"



Изменяются следующие ключи реестра:

Отключение редактора реестра и менеджера задач:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
   Прежнее значение:
   • DisableTaskMgr=dword:00000000
   • DisableRegistryTools=dword:00000000
   Новое значение:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Прежнее значение:
   • NoDriveTypeAutoRun=dword:00000091
   Новое значение:
   • NoDriveTypeAutoRun=dword:0000005b

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Прежнее значение:
   • NoFolderOptions=dword:00000000
   Новое значение:
   • NoFolderOptions=dword:00000001

 Завершение процесса Производится поиск следующих последовательностей в памяти активных процессов. В случае обнаружения процессы завершаются:
   • cmd.exe
   • handydriver.exe
   • kerneldrive.exe
   • nod32krn.exe
   • nod32kui.exe
   • winsystem.exe
   • Wscript.exe


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Ana Maria Niculescu в(о) среда, 30 июля 2008 г.
Описание обновил Andrei Gherman в(о) четверг, 31 июля 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.