Trojan : Autolt/Clodow

Ini adalah sebuah trojan yang men-download malware lain ke PC dari akun SkyDrive berbahaya atau dikompromikan.
Penulis malware dapat menempatkan setiap file dalam akun SkyDrive.

Antivirus : Microsoft Security Essentials dan Windows Defender.

Informasi :

1. Trojam ini dapat didownload dan dijalankan secara otomatis jika anda mengunjungi situs berbahaya. Hal ini biasanya download dengan nama file flashplayer.exe
2. Ketika dijalankan trojan akan menampilkan pesan berikut :

                -----------------------------------------------------------
                         Installing latest Flash Player
                                   Please Wait....
                -----------------------------------------------------------

3. Trojan terhubung ke http://82.146.49.70/stats.php sebagai cara menghitung jumlah mesin yang telah terinfeksi.
4. Ini menggunakan format berikut untuk membuat URL dari mana ia men-download file berbahaya :
CID dan Resid nilai adalah string alfanumerik yang hardcoded dalam trojan asli. CID mengacu pada akun SkyDrive, dan Resid ke file atau sumber daya pada akun itu.
5. Trojan tetes dirinya sebagai %ProgramData%\Explorer.exe dan memodifikasi entri registry.
6. Trojan tersebut yang menggunakan sebagai skrip logon terhubung ke akun SkyDrive dan mengambil file :
 ● %APPDATA%\flashplayer2.exe
7. Ini menjalankan file batch yang akan menghapus file utama dan file batch sendiri. Varian Clodow menggunakan nama file winproc.bat dan uecubrb.bat.
8. Trojan menciptakan mutex.dldl. Ini bisa menjadi penanda infeksi untuk mencegah lebih dari satu salinan dari ancaman yang berjalan pada PC anda.
9. Trojan ini berjalan di kedua 32-bit dan 64-bit versi windows