English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Autorun.czg
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Autorun.czg - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/Autorun.czg
Обнаружен:
27/03/2008
Вид:
Червь
В реальных условиях:
Да
Отмеченные факты заражения:
Низкий
Потенциал распространения:
От низкого до среднего
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
13.824 байт.
Контрольная сумма MD5:
d7de4f1f1f388613616ab2f68abeaa62
Версия IVDF:
7.00.03.32
Общее
Метод распространения:
• Подключенные сетевые диски
Псевдонимы (аliases):
• Mcafee: BackDoor-ACA.b
• Kaspersky: Worm.Win32.AutoRun.czg
• F-Secure: Worm.Win32.AutoRun.czg
• Grisoft: Flooder.EZD
• Eset: Win32/AutoRun.IX
• Bitdefender: Trojan.Autorun.PK
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Создает файлы
• Изменение реестра
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создаются собственные копии:
• c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
•
%Диск%
:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
Создаются следующие файлы:
– Незараженный файл:
• c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
–
%Диск%
\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
•
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– [HKLM\Software\Microsoft\Active Setup\Installed Components\
{08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
• StubPath="c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe"
IRC
Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:
Сервер: tassweq.com
Порт: 7000
Пароль сервера: trb123trb
Канал: #hisham#
Имя:
%случайная буквенная комбинация%
– Вредоносная программа обладает способностью выполнять следующие действия:
• установить соедиениение с IRC сервером
• Войти в чат-комнату IRC
• Произвести DDoS атаку
Инфицирование
– Вставляется в процесс в качестве удаленного программного потока.
Имя процесса:
• EXPLORER.EXE
При успешном выполнении вредоносная программа завершается. Инфицированная часть остается при этом активной.
Краткое описание см.
здесь
.
Описание добавлено: Andrei Gherman Wed, 06 Aug 2008 13:19 (GMT+1)
Описание обновлено: Andrei Gherman Wed, 06 Aug 2008 13:30 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
W32/Elkern.C
Worm/Mytob.AT
Worm/Mytob.U
Worm/Lovgate.W
Worm/Mytob.W
DR/Agent.abpc
TR/Spy.Banker.okm.2
EXP/MS08-067.C
JAVA/Dldr.Small.A
TR/Spy.Banker.get
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Autorun.czg
Print this page
.gif)
