Вирусная лаборатория Avira

TR/Autoit.QX

  • Имя
    TR/Autoit.QX
  • Date discovered
    20 апр. 2018 г.
  • Тип
    Malware
  • Воздействие
    Средний 
  • Сообщения о заражении
    Низкий 
  • Операционная система
    Windows
  • Версия VDF
    7.14.53.162 (2018-04-20 16:05)

Термин 'TR' обозначает троян, который в состоянии заполучить ваши данные, нарушить вашу частную жизнь и произвести нежелательные изменения системы.

  • VDF
    7.14.53.162 (2018-04-20 16:05)
  • Сетевая активность
    • 913531792.r.s-cdn.net/*****.php?aHR0cDovLzkxMzUzMTc5Mi5yLnMtY2RuLm5ldC92MnxDTFV3
    • navigationshilfe1.t-o*****.de/dnserror?url=913531792.r.s-cdn.net/
  • Процессы
    • %SYSDIR%\WindowsPowerShell\v1.0\powershell.exe
    • powershell.exe
    • %executed_sample_name%.exe
  • Файлы
    Следующие файлы удалены:
    • %APPDATA%\Local\Microsoft\Windows\Caches\{AFBF9F1A-8EE8-4C77-AF34-C647E37CA0D9}.1.ver0x0000000000000000.db
    Следующие драйверы загружены:
    • %WINDIR%\SysWOW64\ieframe.dll
    • %WINDIR%\winsxs\FileMaps\$$_system32_windowspowershell_v1.0_3f102d555ee05d33.cdf-ms
    • %TEMPDIR%\%executed_sample%
    • %WINDIR%\Globalization\Sorting\sortdefault.nls
    • %APPDATA%\Local\Microsoft\Windows\Caches\cversions.1.db
    • %USERPATH%\Desktop\desktop.ini
    • %SYSDIR%\WindowsPowerShell\v1.0\powershell.exe
    Следующие файлы исполнены:
    • %WINDIR%\SysWOW64\ieframe.dll
    • %WINDIR%\winsxs\FileMaps\$$_system32_windowspowershell_v1.0_3f102d555ee05d33.cdf-ms
    • %TEMPDIR%\%executed_sample%
    • %WINDIR%\Globalization\Sorting\sortdefault.nls
    • %APPDATA%\Local\Microsoft\Windows\Caches\cversions.1.db
    • %USERPATH%\Desktop\desktop.ini
    • %SYSDIR%\WindowsPowerShell\v1.0\powershell.exe
  • Реестр
    Добавляются следующие ключи реестра:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap ("ProxyBypass": "") ("IntranetName": "") ("UNCAsIntranet": "0x00000000") ("AutoDetect": "0x01000000")
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap ("ProxyBypass": "") ("IntranetName": "")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ ("UNCAsIntranet": "0")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ ("AutoDetect": "1")
    Изменяются следующие ключи реестра:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap ("ProxyBypass": "") ("IntranetName": "") ("UNCAsIntranet": "0x00000000") ("AutoDetect": "0x01000000")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ ("UNCAsIntranet": "0")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ ("AutoDetect": "1")
    Удаляются значения следующих ключей реестра:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap ("ProxyBypass": "") ("IntranetName": "") ("UNCAsIntranet": "0x00000000") ("AutoDetect": "0x01000000")
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap ("ProxyBypass": "") ("IntranetName": "")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ ("ProxyBypass": "")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ ("IntranetName": "")
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ ("ProxyBypass": "")
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ ("IntranetName": "")
  • Alias
    ESET: Win32/TrojanDownloader.Autoit.OGS trojan
    G Data: AIT:Trojan.Autoit.DIJ

Чтобы сделать Интернет безопаснее, отправляйте нам подозрительные файлы и URL-адреса для анализа.

Отправить файл или URL-адрес или Перейти к Avira Answers

Зачем отправлять подозрительные файлы?

Если вы обнаружили подозрительный файл или веб-сайт, которого нет в нашей базе данных, мы проанализируем его и определим, является ли он вредоносным. Затем результаты анализа получат миллионы наших пользователей при следующем обновлении базы данных по вирусам. Если у вас установлено приложение Avira, вы тоже получите такое обновление. У вас не установлено приложение Avira? Загрузите его с нашей домашней страницы.

Что такое Avira Answers?

Это наше активно развивающееся сообщество технических профессионалов и внештатных экспертов, работающих совместно для решения технических проблем. Это идеальная возможность задать свой вопрос сообществу таких же пользователей Avira.