Nombre:Worm/Autorun.cns.1
Descubierto:17/03/2008
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-alto
Fichero estático:
Tamaño:258.605 Bytes
Suma de control MD5:b72d63816a33badaa2e96c3ad4552640
Versión del VDF:7.00.03.30
Versión del IVDF:7.00.03.34 - lunes 17 de marzo de 2008

 General Métodos de propagación:
   • Unidades de red mapeadas


Alias:
   •  Mcafee: W32/Autorun.worm.c
   •  Kaspersky: Worm.Win32.AutoRun.cns
   •  F-Secure: Worm.Win32.AutoRun.cns
   •  Eset: Win32/Autoit.CA
   •  Bitdefender: Trojan.Autorun.QN


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta ficheros
   • Reduce las opciones de seguridad
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:



 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\explorcr.exe
   • %disquetera%\explorcr.exe



Elimina los siguientes ficheros:
   • %WINDIR%\system.ini
   • %WINDIR%\win.ini
   • C:\ntldr
   • %PROGRAM FILES%\ESET\nod32.exe
   • %PROGRAM FILES%\ESET\nod32krn.exe
   • %PROGRAM FILES%\ESET\nod32kui.exe
   • %PROGRAM FILES%\Windows Media Player\wmplayer.exe



Crea los siguientes ficheros:

%WINDIR%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

 Registro La siguiente clave del registro se encuentra en un bucle infinito, añadido para ejecutar el proceso al reiniciar el sistema.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "explorcr"="%SYSDIR%\explorcr.exe"



Modifica las siguientes claves del registro:

Desactivar Regedit y el Administrador de Tareas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
   Valor anterior:
   • DisableTaskMgr=dword:00000000
   • DisableRegistryTools=dword:00000000
   Nuevo valor:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor anterior:
   • NoDriveTypeAutoRun=dword:00000091
   Nuevo valor:
   • NoDriveTypeAutoRun=dword:0000005b

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor anterior:
   • NoFolderOptions=dword:00000000
   Nuevo valor:
   • NoFolderOptions=dword:00000001

 Finalización de los procesos Busca en la memoria de los procesos activos las siguientes series de caracteres. Al encontrarlas, termina los respectivos procesos:
   • cmd.exe
   • handydriver.exe
   • kerneldrive.exe
   • nod32krn.exe
   • nod32kui.exe
   • winsystem.exe
   • Wscript.exe


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Ana Maria Niculescu el miércoles 30 de julio de 2008
Descripción actualizada por Andrei Gherman el jueves 31 de julio de 2008

Volver . . . .