Nombre:Worm/Autorun.czg
Descubierto:27/03/2008
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:13.824 Bytes
Suma de control MD5:d7de4f1f1f388613616ab2f68abeaa62
Versión del IVDF:7.00.03.32 - domingo 16 de marzo de 2008

 General Método de propagación:
   • Unidades de red mapeadas


Alias:
   •  Mcafee: BackDoor-ACA.b
   •  Kaspersky: Worm.Win32.AutoRun.czg
   •  F-Secure: Worm.Win32.AutoRun.czg
   •  Grisoft: Flooder.EZD
   •  Eset: Win32/AutoRun.IX
   •  Bitdefender: Trojan.Autorun.PK


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %papelera de reciclaje%\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
   • %disquetera%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe



Crea los siguientes ficheros:

– Fichero no malicioso:
   • %papelera de
      reciclaje%\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
   • StubPath="%papelera de reciclaje%\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe"

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: tassweq.com
Puerto: 7000
Contraseña del servidor: trb123trb
Canal: #hisham#
Apodo: %serie de caracteres aleatorios%


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Ingresar a un canal IRC
    • Ejecutar ataque DDoS

 Inyectar el código viral en otros procesos – Se inyecta como un hilo de ejecución remoto en un proceso.

    Nombre del proceso:
   • EXPLORER.EXE

   Al lograr la operación, el programa malicioso cesa su ejecución, mientras que su componente inyectado queda activo.

Descripción insertada por Andrei Gherman el miércoles 6 de agosto de 2008
Descripción actualizada por Andrei Gherman el miércoles 6 de agosto de 2008

Volver . . . .