Полное описание

Имя:	Worm/Autorun.cbm.4
Обнаружен:	21/08/2008
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	От низкого до среднего
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	233.472 байт.
Контрольная сумма MD5:	0658e57e4190ff5db50A3507b3ec2887
Версия VDF:	7.00.06.50
Версия IVDF:	7.00.06.51 - четверг, 21 августа 2008 г.

Общее Метод распространения:
   • Подключенные сетевые диски

Псевдонимы (аliases):
   • Mcafee: W32/Autorun.worm.bm
   • Kaspersky: Worm.Win32.AutoRun.cbm
   • F-Secure: Worm.Win32.AutoRun.cbm
   • Eset: Win32/AutoRun.PD
   • Bitdefender: Trojan.Downloader.VB.AXY

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает файл
   • Создает файлы
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создаются собственные копии:
   • %WINDIR%\userinit.exe
   • %SYSDIR%\system.exe
   • %Диск%\Secret.exe

Создаются следующие файлы:

– Незараженный файл:
   • %SYSDIR%\MSWINSCK.OCX

– %Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   •

– %WINDIR%\kdcoms.dll Файл содержит строки введенных с клавиатуры символов

Попытка загрузки следующего файла:

– Следующий URL:
   • http://fil**********pera.com/hav_online/files/task.rar

Реестр Добавляется ключ реестра (бесконечный цикл) для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
• Userinit="%WINDIR%\userinit.exe"

Backdoor Устанавливает соединение с сервером
Следующий:
• scs**********h.cx:8800

Данные файла Язык программирования:
Программа была написана на Visual Basic.

Описание добавил Ana Maria Niculescu в(о) среда, 25 февраля 2009 г.
Описание обновил Andrei Gherman в(о) понедельник, 2 марта 2009 г.

Назад . . . .