English
Deutsch
Français
Español
Italiano
Home
Virus Info
DR/Autoit.I.1
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TechBlog
DR/Autoit.I.1 - Dropper
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
DR/Autoit.I.1
Обнаружен:
21/09/2007
Вид:
Дроппер
В реальных условиях:
Да
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Низкий
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
215.456 байт.
Контрольная сумма MD5:
69718103c21fd0e647d47c364758f215
Версия IVDF:
6.39.01.161
Общее
Метод распространения:
• Подключенные сетевые диски
Псевдонимы (аliases):
• Kaspersky: Worm.Win32.AutoIt.i
• F-Secure: Worm.Win32.AutoIt.i
• Sophos: W32/SillyFDC-AP
• Eset: Win32/Autoit.AZ worm
• Bitdefender: Win32.Worm.Autoit.P
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Загружает файлы
• Создает файл
• Снижает уровень настроек безопасности
• Изменение реестра
Файлы
Создается собственная копия:
•
%SYSDIR%
\msmsgs.exe
–
%WINDIR%
\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
• [autorun]
open=system.exe
shellexecute=system.exe
shell\Explore\command=system.exe
shell\Open\command=system.exe
shell=Explore
Попытка загрузки следующих файлов:
– Следующий URL:
• http://ppt.th.gs/**********/bad1.exe
Сохраняется локально в:
%SYSDIR%
\bad1.exe На момент проверки данный файл не был доступен.
– Следующий URL:
• http://ppt.th.gs/**********/bad2.exe
Сохраняется локально в:
%SYSDIR%
\bad2.exe На момент проверки данный файл не был доступен.
– Следующий URL:
• http://ppt.th.gs/**********/bad3.exe
Сохраняется локально в:
%SYSDIR%
\bad3.exe На момент проверки данный файл не был доступен.
Реестр
Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• SYS1="
%SYSDIR%
\system.exe"
• SYS2="
%SYSDIR%
\bad1.exe"
• SYS3="
%SYSDIR%
\bad2.exe"
• SYS4="
%SYSDIR%
\bad3.exe"
• Msmsgs="
%SYSDIR%
\Msmsgs.exe"
Изменяются следующие ключи реестра:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Новое значение:
• SuperHidden=dword:00000000
• ShowSuperHidden=dword:00000000
• HideFileExt=dword:00000001
• Hidden=dword:00000002
Отключение редактора реестра и менеджера задач:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
Новое значение:
• DisableTaskMgr=dword:00000001
• DisableRegistryTools=dword:00000001
Различные настройки Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Новое значение:
• NoDriveTypeAutoRun=dword:0000005b
• NoFind=dword:00000001
• NoFolderOptions=dword:00000001
Данные файла
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX
Краткое описание см.
здесь
.
Описание добавлено: Alexander Neth Fri, 05 Sep 2008 09:44 (GMT+1)
Описание обновлено: Alexander Neth Fri, 05 Sep 2008 09:56 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
HTML/Crypted.Gen
ADSPY/AdSpy.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/Dldr.Bredolab.AX
APPL/Tool.EvID4226
Get comfortable up to the minute info from Avira as
Detects and removes distinct malware and its variants.
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
|
Privacy
|
Sitemap
|
Feedback
|
Imprint
|
FAQ
|
Contact
Virus Info DR/Autoit.I.1
Print this page
.gif)
