Вирусная лаборатория Avira

Worm/Autorun.abb

  • Имя
    Worm/Autorun.abb
  • Date discovered
    01 февр. 2016 г.
  • Тип
    Malware
  • Воздействие
    Высокий 
  • Сообщения о заражении
    Низкий 
  • Операционная система
    Windows
  • Версия VDF
    7.11.05.14 (2011-03-21 12:01)

Термин 'WORM' обозначает червь, который в состоянии, например, самостоятельно распространяться через интернет (рассылка электронной почты, сети Peer-To-Peer, сети IRC и др.).

  • VDF
    7.11.05.14 (2011-03-21 12:01)
  • Alias
    Avast: AutoIt:Agent-AEF
    AVG: Autoit.DI
    ClamAV: Worm.AutoIT-25
    Dr. Web: Win32.HLLW.Autoruner.24928
    Trend Micro: Mal_OtorunP
    Microsoft: Worm:AutoIt/Nuqel.M
    G Data: Gen:Variant.Strictor.24821
    Kaspersky Lab: Worm.Win32.AutoIt.sl
    Bitdefender: Gen:Variant.Strictor.24821
    ESET: Win32/Sohanad.Gen worm
  • Файлы
    Следующие копии самого объекта созданы:
    • %SYSDIR%\SSVICHOSST.exe
    • %WINDIR%\SSVICHOSST.exe
    Следующие файлы созданы:
    • %WINDIR%\Tasks\At1.job
    • %SYSDIR%\autorun.ini
    Следующие файлы изменены:
    • %temporary internet files%\Content.IE5\index.dat
    • %USERPROFILE%\Cookies\index.dat
    • %USERPROFILE%\Local Settings\History\History.IE5\index.dat
    • %SYSDIR%\wbem\Logs\wbemcore.log
    • %WINDIR%\Prefetch\WMIADAP.EXE-2DF425B2.pf
  • Реестр
    Добавляются следующие ключи реестра:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ("Yahoo Messengger": "%SYSDIR%\SSVICHOSST.exe")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ("NofolderOptions": dword:00000001)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ("DisableTaskMgr": dword:00000001; "DisableRegistryTools": dword:00000001)
    • HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings ("ProxyEnable": dword:00000000)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares ("shared": "\New Folder.exe")

Чтобы сделать Интернет безопаснее, отправляйте нам подозрительные файлы и URL-адреса для анализа.

Отправить файл или URL-адрес или Перейти к Avira Answers

Зачем отправлять подозрительные файлы?

Если вы обнаружили подозрительный файл или веб-сайт, которого нет в нашей базе данных, мы проанализируем его и определим, является ли он вредоносным. Затем результаты анализа получат миллионы наших пользователей при следующем обновлении базы данных по вирусам. Если у вас установлено приложение Avira, вы тоже получите такое обновление. У вас не установлено приложение Avira? Загрузите его с нашей домашней страницы.

Что такое Avira Answers?

Это наше активно развивающееся сообщество технических профессионалов и внештатных экспертов, работающих совместно для решения технических проблем. Это идеальная возможность задать свой вопрос сообществу таких же пользователей Avira.