Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Date discovered:24/12/2008
In the wild:Yes
Reported Infections:Low
Distribution Potential:Low
Damage Potential:Low
Static file:No
File size:~1.390.000 Bytes
VDF version:

 General Method of propagation:
   • No own spreading routine

   •  Kaspersky: Worm.Win32.AutoRun.arif
   •  F-Secure: Worm.Win32.AutoRun.arif
   •  Eset: Win32/FlyStudio.NET

Platforms / OS:
   • Windows 2000
   • Windows XP

Side effects:
   • Registry modification

 Files It copies itself to the following locations:
   • %systemdir%\XP-290F2C69.EXE
   • %systemdir%\XP-%8 random hexa digits%.exe

The following files are created:

Non malicious file:
   • C:\Documents and Settings\%user%\Start Menu\Programs\Startup\??????
      (short-cut to XP-290F2C69.EXE)

– Temporary files that might be deleted afterwards:
   • %systemdir%\com.run
   • %systemdir%\dp1.fne
   • %systemdir%\eAPI.fne
   • %systemdir%\internet.fne
   • %systemdir%\krnln.fnr
   • %systemdir%\RegEx.fnr
   • %systemdir%\shell.fne
   • %systemdir%\spec.fne
   • %systemdir%\og.EDT
   • %systemdir%\og.dll
   • %systemdir%\ul.dll
   • %tempdir%\E_4\com.run
   • %tempdir%\E_4\dp1.fne
   • %tempdir%\E_4\eAPI.fne
   • %tempdir%\E_4\internet.fne
   • %tempdir%\E_4\krnln.fnr
   • %tempdir%\E_4\RegEx.fnr
   • %tempdir%\E_4\shell.fne
   • %tempdir%\E_4\spec.fne

It tries to executes the following file:

   • %systemdir%\XP-%8 random hexa digits%.exe
Furthermore it contains malicious code. Detected as: TR/Agent.ies

 Registry The following registry key is added in order to run the process after reboot:

   • "XP-290F2C69"="%SYSDIR%\XP-290F2C69.EXE"

 Backdoor Contact server:
The following:
   • http://www.hidatabase.cn/**.***

 File details Programming language:
The malware program was written in MS Visual C++.

Описание добавил Mihai Dilimot в(о) среда, 29 июля 2009 г.
Описание обновил Mihai Dilimot в(о) среда, 29 июля 2009 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.