Trojan.Win32.Autoit

トロイの木馬は、起動すると以下の処理を実行します。

• 次のHTTPサーバーに接続しようとします。

   87。***。14
  
  
  
  69。***。224
  
  
  
  

• ディレクトリを作成します。

  
  
  
  ％System％<rnd> 

  ここで、<rnd>はランダムな5桁の10進数です。

• ファイルを本体から抽出し、システムに保存します：

   ％System％<rnd> svchost.exe 

  （525 312バイト、 "not-a-virus：Monitor.Win32.Ardamax.ae"としてKaspersky Anti-Virusによって検出された）

• 抽出されたファイルを起動して実行します。
• 次のシステムレジストリキーの値を変更します。

  
  
  
  [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
  
  
  
  "NofolderOptions" = 0
  
  
  
  
  
  
  
  [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
  
  
  
  "DisableTaskMgr" = 0
  
  
  
  
  
  
  
  [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
  
  
  
  "DisableRegistryTools" = 1
  
  
  
  

  最後のキーを変更すると、レジストリエディタが無効になります。

• 次のファイルを作成します。

  
  
  
  ％System％setup.ini（96バイト） 

  以下の内容で

  
  
  
  [Autorun]
  
  
  
  Open = regsvr.exe
  
  
  
  Shellexecute = regsvr.exe
  
  
  
  ShellOpencommand = regsvr.exe
  
  
  
  シェル=オープン
  
  
  
  

• 次のパラメータを使用してシステムコマンドインタプリタ "cmd.exe"を起動します。

   / C AT /削除/はい

  これにより、Windowsタスクスケジューラでスケジュールされたすべてのタスクがキャンセルされます。

   / C AT 09:00 / interactive / EVERY：m、t、w、th、f、s、su％システム％svchost.exe 

毎日9時にWindowsタスクスケジューラがトロイの木馬のコピーを起動します。