Analysé par: Adrianne Chester Camat   
 

Win32/AutoRun.Agent.DL (NOD32)

 Plate-forme:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.

Schleust Kopien von sich selbst in den allgemeinen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

Schleust Eigenkopien in alle Wechsel- und Festplattenlaufwerke des Systems ein. Verbreitet sich über Freigabenetzwerke und schleust Eigenkopien in verfügbare Netzwerke ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

  Détails techniques

Übertragungsdetails

Wird durch den Zugriff auf infizierte Freigabenetzwerke übertragen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %User Profile%\svchost.exe
  • %System%\drivers\services.exe

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
[system] = "%System%\drivers\services.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
winlogon = "%User Profile%\svchost.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
[system] = "%System%\drivers\services.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
winlogon = "%User Profile%\svchost.exe"

Schleust Kopien von sich selbst in den allgemeinen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

Verbreitung

Schleust Eigenkopien in alle Wechsel- und Festplattenlaufwerke des Systems ein.

Verbreitet sich über Freigabenetzwerke und schleust Eigenkopien in verfügbare Netzwerke ein.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.