//start foreach
English
//start foreach
Deutsch
//start foreach
Français
//start foreach
Español
//start foreach
Italiano
//start foreach
Русский
//start foreach
日本語
//start foreach
Português
//start foreach
简体中文
Home
Minacce
Worm/AutoIt.BEK
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistiche
Phishing Worldmap
VDF History
Virus Science
Submit Sample
News sulla sicurezza
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
Worm/AutoIt.BEK - Worm
Vedi anche
In breve
Descrizione completa
Statistiche
Come valuti questa informazione?
Inutile
Eccellente
Nome del virus:
Worm/AutoIt.BEK
Scoperto:
29/10/2008
Tipo:
Worm
In circolazione (ITW):
Si
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Medio-Basso
Potenziale di danni:
Medio-Basso
File statico:
Si
Dimensione del file:
387.584 Byte
Somma di controllo MD5:
c718e513f104913699362bd588364363
Versione IVDF:
7.01.00.09
Generale
Metodo di propagazione:
• Autorun feature (it)
Alias:
• Mcafee: W32/YahLover.worm.gen virus
• Sophos: Mal/Generic-A
• Panda: W32/Autorun.IOI
• Eset: Win32/AutoRun.WJ
• Bitdefender: Trojan.Generic.326271
Piattaforme / Sistemi operativi:
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Duplica file “maligni”
• Abbassa le impostazioni di sicurezza
• Modifica del registro
File
Si copia alle seguenti posizioni:
•
%unità disco%
\logoneui.exe
•
%WINDIR%
\web\connection.dat
•
%SYSDIR%
\logoneui.exe
•
%unità disco%
\Jojo.exe
•
%unità disco%
\Zidan vs Tito.exe
•
%unità disco%
\Maradona.exe
•
%unità disco%
\
%tutte le directory%
\%directory name%.exe
Cancella il seguente file:
• C:\boot.ini
Vengono creati i seguenti file:
–
%unità disco%
\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
•
–
%WINDIR%
\Tasks\At1.job
–
%unità disco%
\info.bat
–
%SYSDIR%
\autorun.ini
–
%SYSDIR%
\boote\boot.ini
Registro
Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "firewall 2008"="
%SYSDIR%
\logoneui.exe"
Vengono aggiunte le seguenti chiavi di registro:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
• "DisableRegistryTools"=dword:0x00000001
• "DisableTaskMgr"=dword:0x00000001
– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
• "HomePage"="1"
Vengono cambiate le seguenti chiavi di registro:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Nuovo valore:
• "Shell"="Explorer.exe logoneui.exe"
– [HKCU\Software\Microsoft\Internet Explorer\Main]
Nuovo valore:
• "Start Page"="http://famous2.topcities.com"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Nuovo valore:
• "Hidden"=dword:0x00000000
– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
Nuovo valore:
• "AtTaskMaxHours"=dword:0x00000000
• "NextAtJobId"=dword:0x00000002
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Nuovo valore:
• "NofolderOptions"=dword:0x00000001
Dettagli del file
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Petre Galan il Fri, 05 Mar 2010 17:07 (GMT+1)
Descrizione aggiornata da Petre Galan il Fri, 05 Mar 2010 17:13 (GMT+1)
»
Informazioni sul malware
»
Informazioni sul phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
HEUR/HTML.Malware
TR/Crypt.XPACK.Gen3
TR/Crypt.XPACK.Gen2
W32/Sality.Y
Java/Agent.M.1
TR/Kryptik.FU
TR/StartPage.aay
Worm/Rimecud.B.467
TR/Spy.154112.31
TR/Renos.AB.4
Ricevete messaggi aggiornati da Avira in formato
Riconosce e rimuove un malware specifico e le relative varianti.
Scarica qui
Incorporate sul vostro sito Web la visualizzazione di un
avviso in caso di virus
© 2010 Avira GmbH
Copyright
|
Protezione dei dati
|
Mappa del sito
|
Feedback
|
Informazione legale
|
FAQ
|
Contatti
Minacce Worm/AutoIt.BEK
Stampa questa pagina
.gif)
