¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Autorun.bft
Descubierto:11/09/2008
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:453.394 Bytes
Suma de control MD5:ab1bf0316b7fd768c11958001d37b640
Versin del IVDF:7.00.06.148 - jueves 11 de septiembre de 2008

 General Mtodo de propagacin:
   • Red local


Alias:
   •  Symantec: W32.Imaut
   •  Kaspersky: Trojan.Win32.Autoit.dt
   •  F-Secure: Trojan.Win32.Autoit.dt


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Suelta ficheros
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %SYSDIR%\csrcs.exe
   • %Directorio de redes utilizado comunmente%\%serie de caracteres aleatorios%.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

– Ficheros temporales, que pueden ser eliminados despus:
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\%serie de caracteres aleatorios%
   • %TEMPDIR%\%serie de caracteres aleatorios%

%SYSDIR%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%

%TEMPDIR%\suicide.bat Adems, el fichero es ejecutado despus de haber sido creado. Este fichero batch es empleado para eliminar un fichero.



Intenta descargar algunos ficheros:

La direccin es la siguiente:
   • http://www.whatismyip.com/**********/n09230945.asp
El fichero est guardado en el disco duro en: %temporary internet files%\Content.IE5\%serie de caracteres aleatorios%\n09230945[1].htm

La direccin es la siguiente:
   • http://sousi.extasix.com/**********.htm
El fichero est guardado en el disco duro en: %temporary internet files%\Content.IE5\%serie de caracteres aleatorios%\genst[1].htm

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe csrcs.exe"



Aade la siguiente clave al registro:

[HKLM\SOFTWARE\Microsoft\DRM\amty]
   • "ilop"="1"
   • "fix"=""
   • "exp1"="%valores hex%"
   • "dreg"="%valores hex%"
   • "eggol"="0"
   • "regexp"="%nmero%"



Modifica las siguientes claves del registro:

Varias opciones de configuracin en Explorer:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   Nuevo valor:
   • "csrcs"="c:\windows\\system32\\csrcs.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • "Hidden"=dword:00000002
     "SuperHidden"=dword:00000000
     "ShowSuperHidden"=dword:00000000

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuevo valor:
   • "CheckedValue"=dword:00000001

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.

Suelta una copia suya en la siguiente carpeta compartida en la red:
   • %Directorio de redes utilizado comunmente%\%serie de caracteres aleatorios%.exe

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • UPX

Descripción insertada por Andreas Feuerstein el jueves 11 de septiembre de 2008
Descripción actualizada por Andreas Feuerstein el martes 16 de septiembre de 2008

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.