Имя:Worm/Autorun.ehx
Обнаружен:04/07/2008
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:113.731 байт.
Контрольная сумма MD5:4594ad377b48a60ce6c104b74407373d
Версия IVDF:7.00.05.47 - пятница, 4 июля 2008 г.

 Общее Метод распространения:
   • Подключенные сетевые диски


Псевдонимы (аliases):
   •  Symantec: Trojan.Packed.NsAnti
   •  Kaspersky: Worm.Win32.AutoRun.ehx
   •  F-Secure: Worm.Win32.AutoRun.ehx
   •  Sophos: Mal/EncPk-CE
   •  Panda: W32/Lineage.IYF.worm
   •  VirusBuster: Worm.AutoRun.BAA
   •  Eset: Win32/PSW.OnLineGames.NMY trojan
   •  Bitdefender: Trojan.PWS.OnlineGames.ZPE


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %SYSDIR%\amvo.exe
   • C:\xmnm2.cmd



Выполненная копия программы удаляется.



Создаются следующие файлы:

– C:\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

%TEMPDIR%\ovk2o.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Crypt.XPACK.Gen

%SYSDIR%\amvo0.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Vundo.Gen

%SYSDIR%\drivers\vga.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Rkit/Vanti.hl.1




Попытка загрузки следующего файла:

– Следующий URL:
   • http://www.aabb1122.com/**********/help.exe
Сохраняется локально в: %TEMPDIR%\help.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Crypt.XPACK.Gen

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SYSTEM\ControlSet001\Services\KAVsys]
   • "Type"=dword:00000001
   • "ErrorControl"=dword:00000001
   • "Start"=dword:00000001
   • "ImagePath"="\??\%SYSDIR%\drivers\vga.sys"

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Thomas Wegele в(о) среда, 27 августа 2008 г.
Описание обновил Thomas Wegele в(о) среда, 27 августа 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.