DR/Autoit.I.1 - Dropper

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	DR/Autoit.I.1
Data em que surgiu:	21/09/2007
Tipo:	Dropper
Incluído na lista "In The Wild"	Sim
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	215.456 Bytes
MD5 checksum:	69718103c21fd0e647d47c364758f215
Versão IVDF:	6.39.01.161

Vulgarmente Meio de transmissão:
   • Unidade de rede

Alias:
   • Kaspersky: Worm.Win32.AutoIt.i
   • F-Secure: Worm.Win32.AutoIt.i
   • Sophos: W32/SillyFDC-AP
   • Eset: Win32/Autoit.AZ worm
   • Bitdefender: Win32.Worm.Autoit.P

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega um ficheiro
   • Baixa as definições de segurança
   • Altera o registo do Windows

Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\msmsgs.exe

– %WINDIR%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • [autorun]
     open=system.exe
     shellexecute=system.exe
     shell\Explore\command=system.exe
     shell\Open\command=system.exe
     shell=Explore

Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://ppt.th.gs/**********/bad1.exe
Encontra-se no disco rígido: %SYSDIR%\bad1.exe Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://ppt.th.gs/**********/bad2.exe
Encontra-se no disco rígido: %SYSDIR%\bad2.exe Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://ppt.th.gs/**********/bad3.exe
Encontra-se no disco rígido: %SYSDIR%\bad3.exe Ainda em fase de pesquisa.

Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • SYS1="%SYSDIR%\system.exe"
   • SYS2="%SYSDIR%\bad1.exe"
   • SYS3="%SYSDIR%\bad2.exe"
   • SYS4="%SYSDIR%\bad3.exe"
   • Msmsgs="%SYSDIR%\Msmsgs.exe"

Altera as seguintes chaves de registo do Windows:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Valor recente:
   • SuperHidden=dword:00000000
   • ShowSuperHidden=dword:00000000
   • HideFileExt=dword:00000001
   • Hidden=dword:00000002

Home page do Internet Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   Valor recente:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Desactiva o Regedit e o Gestor de Tarefas:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Valor recente:
   • NoDriveTypeAutoRun=dword:0000005b
   • NoFind=dword:00000001
   • NoFolderOptions=dword:00000001

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX

Veja aqui uma breve descrição.

Descrição adicionada por Alexander Neth em Fri, 05 Sep 2008 09:44 (GMT+1)
Descrição adicionada por Alexander Neth em Fri, 05 Sep 2008 09:56 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back