Nombre:DR/Autoit.I.1
Descubierto:21/09/2007
Tipo:Dropper
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:215.456 Bytes
Suma de control MD5:69718103c21fd0e647d47c364758f215
Versión del IVDF:6.39.01.161 - viernes 21 de septiembre de 2007

 General Método de propagación:
   • Unidades de red mapeadas


Alias:
   •  Kaspersky: Worm.Win32.AutoIt.i
   •  F-Secure: Worm.Win32.AutoIt.i
   •  Sophos: W32/SillyFDC-AP
   •  Eset: Win32/Autoit.AZ worm
   •  Bitdefender: Win32.Worm.Autoit.P


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Suelta un fichero
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\msmsgs.exe

%WINDIR%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [autorun]
     open=system.exe
     shellexecute=system.exe
     shell\Explore\command=system.exe
     shell\Open\command=system.exe
     shell=Explore




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://ppt.th.gs/**********/bad1.exe
El fichero está guardado en el disco duro en: %SYSDIR%\bad1.exe Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://ppt.th.gs/**********/bad2.exe
El fichero está guardado en el disco duro en: %SYSDIR%\bad2.exe Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://ppt.th.gs/**********/bad3.exe
El fichero está guardado en el disco duro en: %SYSDIR%\bad3.exe Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • SYS1="%SYSDIR%\system.exe"
   • SYS2="%SYSDIR%\bad1.exe"
   • SYS3="%SYSDIR%\bad2.exe"
   • SYS4="%SYSDIR%\bad3.exe"
   • Msmsgs="%SYSDIR%\Msmsgs.exe"



Modifica las siguientes claves del registro:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Nuevo valor:
   • SuperHidden=dword:00000000
   • ShowSuperHidden=dword:00000000
   • HideFileExt=dword:00000001
   • Hidden=dword:00000002

Desactivar Regedit y el Administrador de Tareas:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   Nuevo valor:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Varias opciones de configuración en Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Nuevo valor:
   • NoDriveTypeAutoRun=dword:0000005b
   • NoFind=dword:00000001
   • NoFolderOptions=dword:00000001

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Alexander Neth el viernes 5 de septiembre de 2008
Descripción actualizada por Alexander Neth el viernes 5 de septiembre de 2008

Volver . . . .