Worm/Autorun.FY.1 - Worm

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	Worm/Autorun.FY.1
Обнаружен:	12/11/2007
Вид:	Червь
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Низкий
Файл статистики:	Да
Размер файла:	229.621 байт.
Контрольная сумма MD5:	ffeeecb3ab1bb248968a89c75671c792
Версия IVDF:	7.00.00.200

Общее Метод распространения:
   • Подключенные сетевые диски

Псевдонимы (аliases):
   • Mcafee: W32/Autorun.worm.g virus
   • Kaspersky: Worm.Win32.AutoRun.ek
   • F-Secure: Worm.Win32.AutoRun.ek
   • Sophos: W32/Imaut-A
   • Grisoft: Worm/Autoit.HL
   • Eset: Win32/Autoit.BD worm
   • Bitdefender: Trojan.Autorun.ND

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Доступ к дискете
   • Создает файл
   • Снижает уровень настроек безопасности
   • Изменение реестра

Файлы Создаются собственные копии:
   • %WINDIR%\smss.exe
   • %WINDIR%\killer.exe
   • %WINDIR%\Funny UST Scandal.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\lsass.exe
   • %Диск%\smss.exe
   • %Диск%\Funny UST Scandal.avi.exe

Создается файл:

– %Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • [autorun]
     open = smss.exe
     shell\Open\Command=smss.exe
     shell\Open\Default=1
     shell\Explore\Command=smss.exe
     shell\Autoplay\Command=smss.exe

Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Runonce="%WINDIR%\smss.exe"

Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Shell="explorer.exe, killer.exe"

Добавляются следующие ключи реестра:

– [HKCR\.vbs]
   • (Default)="exefile" (Hidden)

– [HKCR\.reg]
   • (Default)="exefile" (Hidden)

Изменяется следующий ключ реестра:

Различные настройки Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Прежнее значение:
   • CheckedValue=dword:00000001
   Новое значение:
   • CheckedValue=dword:00000000

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX

Краткое описание см. здесь.

Описание добавлено: Alexander Neth Mon, 14 Jul 2008 09:37 (GMT+1)
Описание обновлено: Alexander Neth Mon, 14 Jul 2008 10:00 (GMT+1)

» О вредоносном ПО
» О фишинге
» В список опасных вирусов

« назад