Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:DR/Autoit.YH.179
发现日期:13/12/2012
类型:特洛伊木马
广泛传播:
病毒传播个案呈报:低程度至中程度
感染/传播能力:低程度至中程度
破坏 / 损害程度:低程度至中程度
静态文件:
文件大小:633.500 字节
MD5 校检和:04307bfa1ae3d14bbe2433355d77cd91
VDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe
IVDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe

 况概描述 传播方法:
   • 视窗自动运行Autorun功能
   • 局域网络


别名:
   •  Mcafee: W32/Autorun.worm.zf.gen
   •  Bitdefender: Trojan.Autoit.AKI
   •  Panda: W32/Harakit.EO
   •  Eset: Win32/Tifaut.D


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 下载恶意文件
   • 植入恶意文件
   • 降低系统安全设置
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %SYSDIR%\csrcs.exe
   • %SYSDIR%\128776.exe
   • %驱动器%\afzink.exe



它会删除其本身最初执行的副本。



删除以下文件:
   • %SYSDIR%\acledit.dll
   • %SYSDIR%\aaaamon.dll
   • %TEMPDIR%\aut%字母%.tmp
   • %SYSDIR%\aaclient.dll
   • %SYSDIR%\access.cpl
   • %SYSDIR%\$winnt$.inf
   • %SYSDIR%\accwiz.exe
   • %SYSDIR%\aclui.dll
   • %SYSDIR%\6to4svc.dll
   • %SYSDIR%\acctres.dll
   • %TEMPDIR%\%随机字符串%
   • %SYSDIR%\12520850.cpx
   • %SYSDIR%\activeds.dll
   • %SYSDIR%\12520437.cpx



创建以下文件:

%驱动器%\autorun.inf 这是一个无恶意的文本文件,包含以下内容:
   • %运行恶意软件代码%

– %SYSDIR%\RegShellSM.exe
– %SYSDIR%\autorun.in
– %TEMPDIR%\%随机字符串%
– %TEMPDIR%\aut%字母%.tmp
– %SYSDIR%\autorun.i
%驱动器%\khy



它会尝试下载一些文件:

– 该位置如下所示:
   • http://www.fake_trafic_test.vasthost.co.cc/test1/admin/**********?v=%数字%&id=%字符串%


– 该位置如下所示:
   • http://95.211.21.184:89/**********


– 该位置如下所示:
   • http://thepiratebay.org/top/**********


– 该位置如下所示:
   • http://geoloc.dai**********.com/?self


– 该位置如下所示:
   • http://www.5eb149c0.com:82/**********




它会尝试执行以下文件:

– 文件名:
   • %SYSDIR%\csrcs.exe


– 文件名:
   • %SYSDIR%\cmd.exe /c net view %IP 地址%

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



会删除以下注册表项的注册值:

–  [HKLM\Software\Microsoft\DRM\amty]
   • fir



会添加以下注册表项目注册值:

– [HKLM\Software\Microsoft\DRM\amty]
   • "bwp1"="noneed"
   • "cb3"="noneed"
   • "dreg"="%十六进制值%"
   • "exp1"="%十六进制值%"
   • "hkx14"="noneed"
   • "ilop"="1"
   • "kiu"="%十六进制值%"
   • "p1"="1"
   • "regexp"="-0.903692205091507"
   • "rp2"="noneed"



会更改以下注册表项:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   新值:
   • "Shell"="Explorer.exe csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   新值:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   新值:
   • "CheckedValue"=dword:0x00000001

 网络感染 该恶意软件会尝试以下方式连接其他计算机来作广泛传播/感染。


漏洞攻击:
它会利用以下漏洞攻击:
– MS05-039 (即插即用中的漏洞)


IP 地址生成:
它会创建随机 IP 地址,但会保留自己地址的前三个八位位组。 之后,它会尝试与所创建的地址建立连接。

 其他  通过访问以下网站来检查 Internet 连接:
   • http://www.whatismyip.com/automation/n09230945.asp


Mutex:
它会创建以下 Mutex:
   • df8g1sdf68g18er1g8re16

 文件详细信息 运行时压缩程序:
为了提高检测难度以及减小文件,它已使用运行时压缩程序进行压缩。

Açıklamayı yerleştiren Petre Galan tarihinde 14 Aralık 2010 Salı
Açıklamayı güncelleyen: Petre Galan tarihinde 14 Aralık 2010 Salı

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.