Имя:Worm/Autorun.apt
Обнаружен:09/09/2008
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:14.229 байт.
Контрольная сумма MD5:efd0575398fa48583d501fb6b9f7b2d3
Версия IVDF:7.00.06.131 - вторник, 9 сентября 2008 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: W32.Rispif.A
   •  Kaspersky: Worm.Win32.AutoRun.msz
   •  F-Secure: Worm.Win32.AutoRun.msz
   •  Bitdefender: Win32.Worm.Autorun.LW


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы
   • Создает файл
   • Создает потенциально опасный файл

 Файлы Создаются собственные копии:
   • %SYSDIR%\wuauclt.exe
   • %SYSDIR%\dllcache\wuauclt.exe
   • C:\LIS.PIF



Создаются следующие файлы:

– c:\AUTORUN.INF Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

%SYSDIR%\Drivers\beep.sys После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Rootkit.Gen




Попытка загрузки следующих файлов:

– Следующий URL:
   • http://m.c5x8.com/**********/10.exe
Сохраняется локально в: C:\Documents and Settings\10.pif Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: DR/Agent.abpb.1


– Следующий URL:
   • http://m.c5x8.com/**********/9.exe
Сохраняется локально в: C:\Documents and Settings\9.pif Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Agent.AJVA.5


– Следующий URL:
   • http://m.c5x8.com/**********/8.exe
Сохраняется локально в: C:\Documents and Settings\8.pif Данный файл запускается на выполнение после его полной загрузки. На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://m.c5x8.com/**********/7.exe
Сохраняется локально в: C:\Documents and Settings\7.pif Данный файл запускается на выполнение после его полной загрузки. На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://m.c5x8.com/**********/6.exe
Сохраняется локально в: C:\Documents and Settings\6.pif Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: DR/BHO.agk


– Следующий URL:
   • http://m.c5x8.com/**********/5.exe
Сохраняется локально в: C:\Documents and Settings\5.pif Данный файл запускается на выполнение после его полной загрузки. На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://m.c5x8.com/**********/4.exe
Сохраняется локально в: C:\Documents and Settings\4.pif Данный файл запускается на выполнение после его полной загрузки. На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://m.c5x8.com/**********/3.exe
Сохраняется локально в: C:\Documents and Settings\3.pif Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.JKKF.16


– Следующий URL:
   • http://m.c5x8.com/**********/2.exe
Сохраняется локально в: C:\Documents and Settings\2.pif Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: DR/Cinmus.rrl


– Следующий URL:
   • http://m.c5x8.com/**********/1.exe
Сохраняется локально в: C:\Documents and Settings\1.pif Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Crypt.XPACK.Gen


– Следующий URL:
   • http://m.c5x8.com/**********/x.gif
Сохраняется локально в: %PROGRAM FILES%\ee.pif Данный файл запускается на выполнение после его полной загрузки. На момент проверки данная версия вредоносной программы была новой.

 Завершение процесса Список завершаемых процессов:
   • VsTskMgr.exe; Avp.EXE; AVP.COM; Iparmor.exeKVWSC.EXE; kvsrvxp.exe;
      kvsrvxp.kxp; KvXP.kxp; KRegEx.exe; ANTIARP.exe; VPTRAY.exe; VPC32.exe;
      scan32.exe; KASARP.exe; nod32krn.exe; nod32kui.exe; TBMon.exe;
      rfwmain.exe; RavStub.exe; rfwstub.exe; rfwProxy.exe; rfwsrv.exe;
      UpdaterUI.exe; KPfwSvc; kwatch.exe; KAVPFW.EXE; kavstart.exe;
      kmailmon.exe; GFUpd.exe; Ravxp.exe; GuardField.exe; RAVMOND.EXE;
      RAVMON.EXE; CCenter.EXE; RAv.exe; Runiep.exe; ArSwp.EXE; SREngLdr.EXE;
      msconfig.EXE; rfwsrv.EXE; rfwProxy.EXE; rfwstub.EXE; RavStub.EXE;
      rfwmain.EXE; GFUpd.EXE; GuardField.EXE; Runiep.EXE; kavstart.EXE;
      kmailmon.EXE; kwatch.EXE; RAV.EXE; KASARP.EXE; ANTIARP.EXE;
      VPTRAY.EXE; VPC32.EXE; AutoRunKiller.EXE; Regedit.EXE;
      WOPTILITIES.EXE; Ast.EXE; Mmsk.EXE

Завершение процессов со следующими последовательностями в именах:
   • Norton AntiVirus Server; McAfee Framework; Symantec AntiVirus
      Definition Watcher; Symantec AntiVirus Drivers Services; Symantec
      AntiVirus; worm; anti; virus; Firewall; Mcafee; NOD32; McShield


 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Thomas Wegele в(о) среда, 10 сентября 2008 г.
Описание обновил Thomas Wegele в(о) четверг, 11 сентября 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.