Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:VBS/Autorun.l2
Обнаружен:23/01/2008
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:6.053 байт.
Контрольная сумма MD5:153e90f0ca2a0de93da62e6789c91f22
Версия IVDF:7.00.02.35 - среда, 23 января 2008 г.

 Общее Метод распространения:
   • Autorun feature (ru)


Псевдонимы (аliases):
   •  Mcafee: VBS/Autorun.worm.au
   •  Sophos: W32/Autorun-AWJ
   •  Panda: VBS/Autorun.EB
   •  Eset: VBS/AutoRun.L
   •  Bitdefender: Trojan.VBS.Autorun.ACS


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создается собственная копия:
   • %Диск%\UserConfig.vbs



Удаляются следующие файлы:
   • %TEMPDIR%\username.bat
   • %TEMPDIR%\username.txt
   • %SYSDIR%\username.txt
   • %TEMPDIR%\TempCmd.cmd
   • %TEMPDIR%\TempReg.reg



Создаются следующие файлы:

%TEMPDIR%\TempReg.reg Файл является безвредным текстовым файлом со следующим содержимым:
   •

%SYSDIR%\username.txt
%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   •

%TEMPDIR%\username.txt
%TEMPDIR%\username.bat После полного завершения процесса создания он запускается на выполнение.
%TEMPDIR%\TempCmd.cmd После полного завершения процесса создания он запускается на выполнение.



Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • cmd /c ""C:\Temp\TempCmd.cmd" "


– Имя файла:
   • regedit /s C:\Temp\TempReg.reg


– Имя файла:
   • cmd /c ""C:\Temp\username.bat" "

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "RunUserConfig"="%TEMPDIR%\UserConfig.vbs"



Изменяется следующий ключ реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Новое значение:
   • "ShowSuperHidden"=dword:0x00000000

Описание добавил Petre Galan в(о) четверг, 1 апреля 2010 г.
Описание обновил Petre Galan в(о) четверг, 1 апреля 2010 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.