English
Deutsch
Francais
Español
Italian
Home
Virus Info
DR/Autoit.I.1
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Techblog
DR/Autoit.I.1 - Dropper
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
DR/Autoit.I.1
Обнаружен:
21/09/2007
Вид:
Дроппер
В реальных условиях:
Да
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Низкий
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
215.456 байт.
Контрольная сумма MD5:
69718103c21fd0e647d47c364758f215
Версия IVDF:
6.39.01.161
Общее
Метод распространения:
• Подключенные сетевые диски
Псевдонимы (аliases):
• Kaspersky: Worm.Win32.AutoIt.i
• F-Secure: Worm.Win32.AutoIt.i
• Sophos: W32/SillyFDC-AP
• Eset: Win32/Autoit.AZ worm
• Bitdefender: Win32.Worm.Autoit.P
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Загружает файлы
• Создает файл
• Снижает уровень настроек безопасности
• Изменение реестра
Файлы
Создается собственная копия:
•
%SYSDIR%
\msmsgs.exe
–
%WINDIR%
\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
• [autorun]
open=system.exe
shellexecute=system.exe
shell\Explore\command=system.exe
shell\Open\command=system.exe
shell=Explore
Попытка загрузки следующих файлов:
– Следующий URL:
• http://ppt.th.gs/**********/bad1.exe
Сохраняется локально в:
%SYSDIR%
\bad1.exe На момент проверки данный файл не был доступен.
– Следующий URL:
• http://ppt.th.gs/**********/bad2.exe
Сохраняется локально в:
%SYSDIR%
\bad2.exe На момент проверки данный файл не был доступен.
– Следующий URL:
• http://ppt.th.gs/**********/bad3.exe
Сохраняется локально в:
%SYSDIR%
\bad3.exe На момент проверки данный файл не был доступен.
Реестр
Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• SYS1="
%SYSDIR%
\system.exe"
• SYS2="
%SYSDIR%
\bad1.exe"
• SYS3="
%SYSDIR%
\bad2.exe"
• SYS4="
%SYSDIR%
\bad3.exe"
• Msmsgs="
%SYSDIR%
\Msmsgs.exe"
Изменяются следующие ключи реестра:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Новое значение:
• SuperHidden=dword:00000000
• ShowSuperHidden=dword:00000000
• HideFileExt=dword:00000001
• Hidden=dword:00000002
Отключение редактора реестра и менеджера задач:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
Новое значение:
• DisableTaskMgr=dword:00000001
• DisableRegistryTools=dword:00000001
Различные настройки Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Новое значение:
• NoDriveTypeAutoRun=dword:0000005b
• NoFind=dword:00000001
• NoFolderOptions=dword:00000001
Данные файла
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX
Краткое описание см.
здесь
.
Описание добавлено: Alexander Neth Fri, 05 Sep 2008 09:44 (GMT+1)
Описание обновлено: Alexander Neth Fri, 05 Sep 2008 09:56 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.AD
TR/Crypt.CFI.Gen
Worm/Bagle.FJ
Worm/Klez.E
W32/Elkern.C
TR/Dldr.VB.FSW
DR/Dldr.VB.VYP
TR/Dldr.Renos.CH
TR/Buzus.iij
TR/Dldr.Banload.ins
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info DR/Autoit.I.1
Print this page
.gif)
