Имя:Worm/AutoIt.YH
Обнаружен:18/08/2010
Вид:Червь
Подвид:Downloader
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:641.728 байт.
Контрольная сумма MD5:a52344dbf51069a071bd6cf719ff8ddf
Версия IVDF:7.10.10.208 - среда, 18 августа 2010 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Worm.Win32.AutoIt.yh
   •  Avast: AutoIt:Balero-C
   •  Panda: Trj/CI.A
   •  DrWeb: Win32.HLLW.Autoruner.based
   •  Ikarus: Worm.Win32.AutoIt


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Последствия:
   • Создает файлы
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %SYSDIR%\csrcs.exe
   • %SYSDIR%\%случайная буквенная комбинация%.exe
   • c:\%текущая папка%\%случайная буквенная комбинация%.exe



Выполненная копия программы удаляется.



Создаются следующие файлы:

– Файлы предназначены для временного использования и могут быть удалены.
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\%случайная буквенная комбинация%
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\%случайная буквенная комбинация%

– c:\%текущая папка%\s.cmd После полного завершения процесса создания он запускается на выполнение. Данный текстовый файл не заражен вирусом. Он содержит информацию о самой программе.



Попытка загрузки следующих файлов:

– Следующий URL:
   • http://fl**********.exe
Сохраняется локально в: %SYSDIR%\RegShellSM.exe Данный файл запускается на выполнение после его полной загрузки.

– Следующий URL:
   • http://9**********.exe
Сохраняется локально в: %SYSDIR%\ip.exe Данный файл запускается на выполнение после его полной загрузки.

 Реестр Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "csrcs"="%SYSDIR%\csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002
   • "SuperHidden"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"=dword:00000001



Добавляются следующие ключи реестра:

– [HKLM\Software\Microsoft\DRM\amty]
   • "ilop"="1"
   • "fix"=""
   • "fix1"="1"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Carlos Valero Llabata в(о) пятница, 20 августа 2010 г.
Описание обновил Andrei Ivanes в(о) четверг, 26 августа 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.