¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Autorun.S
Descubierto:21/08/2007
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-alto
Fichero estático:
Tamaño:94.208 Bytes
Suma de control MD5:75691359d5c9e0e7e09ce6cd1802bc31
Versión del IVDF:6.39.01.26 - martes, 21 de agosto de 2007

 General Método de propagación:
   • Unidades de red mapeadas


Alias:
   •  Mcafee: W32/Autorun.worm.i.gen
   •  Kaspersky: Worm.Win32.AutoRun.wj
   •  F-Secure: Worm.Win32.AutoRun.wj
   •  Sophos: W32/SillyFDC-BJ
   •  Eset: Win32/AutoRun.LG
   •  Bitdefender: Trojan.Autorun.VN


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Reduce las opciones de seguridad
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:



Inmediatamente después de ejecutarse, inicia una aplicación de Windows que muestra la siguiente ventana:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • C:\Documents and Settings\LocalService\services.exe
   • %SYSDIR%\drivers\smss.exe
   • %WINDIR%\winlogon.exe
   • %disquetera%:\RECYCLER.exe
   • %disquetera%:\Gwen(ISU) Scandal.exe
   • %disquetera%:\Sex Video.exe
   • %disquetera%:\zeluR maeTCP.exe
   • %todas las carpetas%\%nombre del directorio actual%.exe



Renombra los siguientes ficheros:

    •  %SYSDIR%\hal.dll en FuckUHal
    •  %WINDIR%\explorer.exe en FuckU
    •  %SYSDIR%\dllcache en FuckU
    •  %SYSDIR%\shell32.dll en FuckU1
    •  %SYSDIR%\ntoskrnl.dll en FuckU2



Crea los siguientes ficheros:

%disquetera%:\Autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%




Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • %PROGRAM FILES%\Windows Media Player\wmplayer.exe

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • winlogon = %WINDIR%\winlogon.exe



Modifica la siguiente clave del registro:

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • HideFileExt = 1
   • SuperHidden = 1
   • ShowSuperHidden = 0

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Andrei Gherman el miércoles, 6 de agosto de 2008
Descripción actualizada por Andrei Gherman el miércoles, 6 de agosto de 2008

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.