¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Winko.I
Descubierto:22/10/2007
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:No
Tamaño:~17.000 Bytes
Versión del IVDF:7.00.00.117 - lunes, 22 de octubre de 2007

 General Método de propagación:
   • Unidades de red mapeadas


Alias:
   •  Kaspersky: Worm.Win32.AutoRun.cxp
   •  F-Secure: Worm:W32/AutoRun.CX
   •  Grisoft: Downloader.Small.BYN
   •  Eset: Win32/TrojanDownloader.Flux.AC
   •  Bitdefender: Win32.Worm.Winko.I

Detección similar:
   •  Worm/Winko.I.%número%


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Suelta un fichero dañino
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\%varios dígitos aleatorios%.EXE
   • %disquetera%\auto.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

%SYSDIR%\C%varios dígitos aleatorios%.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Autorun.CA




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://33.xingaide8.cn/**********/update.txt
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %serie de caracteres aleatorios%]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\%varios dígitos aleatorios%.EXE -k
   • DisplayName = %serie de caracteres aleatorios%
   • ObjectName = LocalSystem
   • Description = C%varios dígitos aleatorios%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %serie de caracteres aleatorios%\Security]
   • Security = %valores hex%



Elimina la siguiente clave del registro, incluyendo todos sus valores y subclaves:
   • [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuevo valor:
   • CheckedValue = 0

– [HKLM\SOFTWARE\Microsoft\Windows NT]
   Nuevo valor:
   • ReportBootOk= 1

– [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
   Nuevo valor:
   • DoReport = 0
   • ShowUI = 0

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %SYSDIR%\C%varios dígitos aleatorios%.dll

    Los siguientes procesos:
   • explorer.exe
   • winlogon.exe
   • %todos los procesos activos%

   Al lograr la operación, el programa malicioso cesa su ejecución, mientras que su componente inyectado queda activo.

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • Upack

Descripción insertada por Andrei Gherman el lunes, 16 de junio de 2008
Descripción actualizada por Andrei Gherman el jueves, 19 de junio de 2008

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.