Trojan.Win32.Autoit

Bir kez başlatıldığında, Truva aşağıdaki eylemleri gerçekleştirir:

• Aşağıdaki HTTP sunucularına bağlanmaya çalışır:

   87. ***. 14
  
  
  
  69. ***. 224
  
  
  
  

• Dizini oluşturur:

  
  
  
  % Sistem% <RND> 

  <rnd> rasgele beş haneli bir ondalık sayıdır.

• Bir dosyayı vücudundan ayıklar ve sisteme kaydeder:

   % System% <RND> svchost.exe 

  (525 312 bayt; Kaspersky Anti-Virus tarafından "not-a-virus: Monitor.Win32.Ardamax.ae" olarak algılandı)

• Yürütülecek ayıklanan dosyayı başlatır.
• Aşağıdaki sistem kayıt defteri anahtarlarının değerlerini değiştirir:

  
  
  
  [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
  
  
  
  "NofolderOptions" = 0
  
  
  
  
  
  
  
  [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
  
  
  
  "DisableTaskMgr" = 0
  
  
  
  
  
  
  
  [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
  
  
  
  "DisableRegistryTools" = 1
  
  
  
  

  Son anahtarın değiştirilmesi kayıt defteri düzenleyicisini devre dışı bırakır.

• Dosyayı oluşturur:

  
  
  
  % System% setup.ini (96 bayt) 

  aşağıdaki içerikle:

  
  
  
  [Otomatik çalıştırma]
  
  
  
  Açık = regsvr.exe
  
  
  
  ShellExecute = regsvr.exe
  
  
  
  ShellOpencommand = regsvr.exe
  
  
  
  Kabuk = Aç
  
  
  
  

• Aşağıdaki parametrelerle sistem komut yorumlayıcısı "cmd.exe" başlatır:

   / C AT / sil / evet 

  Bu, Windows Görev Zamanlayıcısı'ndaki tüm zamanlanmış görevleri iptal eder.

   / C AT 09:00 / etkileşimli / HERKES: m, t, w, th, f, s, su% Sistem% svchost.exe 

Her gün saat 9: 00'da Windows Görev Zamanlayıcısı, Truva atının bir kopyasını başlatacak.