ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Trojan.Win32.Autoit

Data de detecção 02/08/2003
Classe Trojan
Plataforma Win32
Descrição

Uma vez iniciado, o Trojan realiza as seguintes ações:

  • Ele tenta se conectar aos seguintes servidores HTTP:
     87. *** 14
    
    
    
    69. *** 224
    
    
    
    
  • Cria o diretório:
    
    
    
    % System% <rnd> 

    onde <rnd> é um número decimal de cinco dígitos aleatórios.

  • Ele extrai um arquivo de seu corpo e o salva no sistema como:
     % System% <rnd> svchost.exe 

    (525 312 bytes; detectado pelo Kaspersky Anti-Virus como "not-a-virus: Monitor.Win32.Ardamax.ae")

  • Ele lança o arquivo extraído para execução.
  • Ele modifica os valores das seguintes chaves de registro do sistema:
    
    
    
    [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
    
    
    
    "NofolderOptions" = 0
    
    
    
    
    
    
    
    [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
    
    
    
    "DisableTaskMgr" = 0
    
    
    
    
    
    
    
    [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
    
    
    
    "DisableRegistryTools" = 1
    
    
    
    

    A modificação da última chave desativa o editor de registro.

  • Cria o arquivo:
    
    
    
    % System% setup.ini (96 bytes) 

    com o seguinte conteúdo:

    
    
    
    [Autorun]
    
    
    
    Aberto = regsvr.exe
    
    
    
    Shellexecute = regsvr.exe
    
    
    
    ShellOpencommand = regsvr.exe
    
    
    
    Shell = abrir
    
    
    
    
  • Ele inicia o interpretador de comandos do sistema "cmd.exe" com os seguintes parâmetros:
     / C AT / delete / yes 

    Isso cancela todas as tarefas agendadas no Agendador de Tarefas do Windows.

     / C às 09:00 / interactive / EVERY: m, t, w, th, f, s, su% System% svchost.exe 

Todos os dias às 9:00, o Agendador de Tarefas do Windows iniciará uma cópia do cavalo de Tróia.


Link para o original