Need help? Ask the community or hire an expert.
Go to Avira Answers
??:DR/Autoit.YH.179
????:13/12/2012
??:?????
????:?
????????????????
??/????????????
?? / ????????????
????:?
????:633.500 ??
MD5 ???:04307bfa1ae3d14bbe2433355d77cd91
VDF ??:7.11.53.216 - 13 Aralık 2012 Perşembe
IVDF ??:7.11.53.216 - 13 Aralık 2012 Perşembe

 ???? ????:
    ??????Autorun??
   • ????


??:
   •  Mcafee: W32/Autorun.worm.zf.gen
   •  Bitdefender: Trojan.Autoit.AKI
   •  Panda: W32/Harakit.EO
   •  Eset: Win32/Tifaut.D


??/????:
   • Windows 2000
   • Windows XP
   • Windows 2003


???:
   • ??????
   • ??????
   • ????????
   • ?????

 ?? ???????????:
   • %SYSDIR%\csrcs.exe
   • %SYSDIR%\128776.exe
   • %???%\afzink.exe



???????????????



??????:
   • %SYSDIR%\acledit.dll
   • %SYSDIR%\aaaamon.dll
   • %TEMPDIR%\aut%??%.tmp
   • %SYSDIR%\aaclient.dll
   • %SYSDIR%\access.cpl
   • %SYSDIR%\$winnt$.inf
   • %SYSDIR%\accwiz.exe
   • %SYSDIR%\aclui.dll
   • %SYSDIR%\6to4svc.dll
   • %SYSDIR%\acctres.dll
   • %TEMPDIR%\%?????%
   • %SYSDIR%\12520850.cpx
   • %SYSDIR%\activeds.dll
   • %SYSDIR%\12520437.cpx



??????:

%???%\autorun.inf ???????????????????:
   • %????????%

%SYSDIR%\RegShellSM.exe
%SYSDIR%\autorun.in
%TEMPDIR%\%?????%
%TEMPDIR%\aut%??%.tmp
%SYSDIR%\autorun.i
%???%\khy



??????????:

???????:
   • http://www.fake_trafic_test.vasthost.co.cc/test1/admin/**********?v=%??%&id=%???%


???????:
   • http://95.211.21.184:89/**********


???????:
   • http://thepiratebay.org/top/**********


???????:
   • http://geoloc.dai**********.com/?self


???????:
   • http://www.5eb149c0.com:82/**********




??????????:

???:
   • %SYSDIR%\csrcs.exe


???:
   • %SYSDIR%\cmd.exe /c net view %IP ??%

 ??? ????????????????????????:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



?????????????:

–  [HKLM\Software\Microsoft\DRM\amty]
   • fir



?????????????:

[HKLM\Software\Microsoft\DRM\amty]
   • "bwp1"="noneed"
   • "cb3"="noneed"
   • "dreg"="%?????%"
   • "exp1"="%?????%"
   • "hkx14"="noneed"
   • "ilop"="1"
   • "kiu"="%?????%"
   • "p1"="1"
   • "regexp"="-0.903692205091507"
   • "rp2"="noneed"



?????????:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   ??:
   • "Shell"="Explorer.exe csrcs.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   ??:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   ??:
   • "CheckedValue"=dword:0x00000001

 ???? ?????????????????????????????


????:
??????????:
– MS05-039 (????????)


IP ????:
?????? IP ???????????????????? ???????????????????

 ??  ??????????? Internet ??:
   • http://www.whatismyip.com/automation/n09230945.asp


Mutex:
?????? Mutex:
   • df8g1sdf68g18er1g8re16

 ?????? ???????:
???????????????????????????????

Açıklamayı yerleştiren Petre Galan tarihinde 14 Aralık 2010 Salı
Açıklamayı güncelleyen: Petre Galan tarihinde 14 Aralık 2010 Salı

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.