Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/AutoIt.YH
发现日期:13/12/2012
类型:蠕虫
子类型:Downloader
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:低程度至中程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:641.728 字节
MD5 校检和:a52344dbf51069a071bd6cf719ff8ddf
VDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe
IVDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe

 况概描述 传播方法:
   • 无内置传播例程


别名:
   •  Kaspersky: Worm.Win32.AutoIt.yh
   •  Avast: AutoIt:Balero-C
   •  Panda: Trj/CI.A
   •  DrWeb: Win32.HLLW.Autoruner.based
   •  Ikarus: Worm.Win32.AutoIt


平台/操作系统:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用:
   • 植入文件
   • 植入恶意文件
   • 降低系统安全设置
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %SYSDIR%\csrcs.exe
   • %SYSDIR%\%随机字符串%.exe
   • c:\%当前目录%\%随机字符串%.exe



它会删除其本身最初执行的副本。



创建以下文件:

– 之后可删除的临时文件:
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\%随机字符串%
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\%随机字符串%

– c:\%当前目录%\s.cmd 成功创建后,它会被执行。 这是一个无恶意的文本文件,包含有关程序本身的信息。



它会尝试下载一些文件:

– 该位置如下所示:
   • http://fl**********.exe
它会保存在硬盘驱动器以下的位置: %SYSDIR%\RegShellSM.exe 成功下载后执行。

– 该位置如下所示:
   • http://9**********.exe
它会保存在硬盘驱动器以下的位置: %SYSDIR%\ip.exe 成功下载后执行。

 注册表 会添加以下注册表项,以便在系统重新引导之后加载服务:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "csrcs"="%SYSDIR%\csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002
   • "SuperHidden"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"=dword:00000001



会添加以下注册表项目注册值:

– [HKLM\Software\Microsoft\DRM\amty]
   • "ilop"="1"
   • "fix"=""
   • "fix1"="1"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"

 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

Açıklamayı yerleştiren Carlos Valero Llabata tarihinde 20 Ağustos 2010 Cuma
Açıklamayı güncelleyen: Andrei Ivanes tarihinde 26 Ağustos 2010 Perşembe

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.