Имя:Worm/Autorun.erh.47
Обнаружен:29/06/2009
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:233984 байт.
Контрольная сумма MD5:6cb7dbf457a86e9c187f25d40fc0cfe8
Версия VDF:7.01.04.149

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Worm.Win32.AutoRun.erh
   •  F-Secure: Worm.Win32.AutoRun.erh
   •  Eset: Win32/AutoRun.KS worm


Операционные системы:
   • Windows 2000
   • Windows XP


Последствия:
   • Создает вредоносные файлы
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\ConfDriver.exe

 Реестр Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {67EFG7H6-8IJL-56YT-KLH4-76WE2D3RAM87}]
   • "StubPath"="c:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\ConfDriver.exe"

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: tot**.***ler.net
Порт: 22322
Канал: #darkwar
Имя: Z%10 random letters%
Пароль: w4r

 Инфицирование – Объект внедряется в процесс.

    Имя процесса:
   • explorer.exe


 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.

Описание добавил Mihai Dilimot в(о) четверг, 23 июля 2009 г.
Описание обновил Mihai Dilimot в(о) четверг, 23 июля 2009 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.