Имя:TR/Autorun.S
Обнаружен:21/08/2007
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От среднего до высокого
Файл статистики:Да
Размер файла:94.208 байт.
Контрольная сумма MD5:75691359d5c9e0e7e09ce6cd1802bc31
Версия IVDF:6.39.01.26 - вторник, 21 августа 2007 г.

 Общее Метод распространения:
   • Подключенные сетевые диски


Псевдонимы (аliases):
   •  Mcafee: W32/Autorun.worm.i.gen
   •  Kaspersky: Worm.Win32.AutoRun.wj
   •  F-Secure: Worm.Win32.AutoRun.wj
   •  Sophos: W32/SillyFDC-BJ
   •  Eset: Win32/AutoRun.LG
   •  Bitdefender: Trojan.Autorun.VN


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра


После запуска выдается следующая информация:



После активации запускается Windows приложение. При этом отображается следующее окно:


 Файлы Создаются собственные копии:
   • C:\Documents and Settings\LocalService\services.exe
   • %SYSDIR%\drivers\smss.exe
   • %WINDIR%\winlogon.exe
   • %Диск%:\RECYCLER.exe
   • %Диск%:\Gwen(ISU) Scandal.exe
   • %Диск%:\Sex Video.exe
   • %Диск%:\zeluR maeTCP.exe
   • %все папки%\%текущее имя папки%.exe



Переименовываются файлы:

    •  %SYSDIR%\hal.dll в FuckUHal
    •  %WINDIR%\explorer.exe в FuckU
    •  %SYSDIR%\dllcache в FuckU
    •  %SYSDIR%\shell32.dll в FuckU1
    •  %SYSDIR%\ntoskrnl.dll в FuckU2



Создаются следующие файлы:

%Диск%:\Autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%




Попытка запустить на выполнение следующий файл:

– Имя файла:
   • %PROGRAM FILES%\Windows Media Player\wmplayer.exe

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • winlogon = %WINDIR%\winlogon.exe



Изменяется следующий ключ реестра:

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Новое значение:
   • HideFileExt = 1
   • SuperHidden = 1
   • ShowSuperHidden = 0

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.

Описание добавил Andrei Gherman в(о) среда, 6 августа 2008 г.
Описание обновил Andrei Gherman в(о) среда, 6 августа 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.