Nombre:Worm/Autorun.bft
Descubierto:11/09/2008
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:453.394 Bytes
Suma de control MD5:ab1bf0316b7fd768c11958001d37b640
Versión del IVDF:7.00.06.148 - jueves 11 de septiembre de 2008

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.Imaut
   •  Kaspersky: Trojan.Win32.Autoit.dt
   •  F-Secure: Trojan.Win32.Autoit.dt


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Suelta ficheros
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\csrcs.exe
   • %Directorio de redes utilizado comunmente%\%serie de caracteres aleatorios%.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

– Ficheros temporales, que pueden ser eliminados después:
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\%serie de caracteres aleatorios%
   • %TEMPDIR%\%serie de caracteres aleatorios%

%SYSDIR%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

%TEMPDIR%\suicide.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.



Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://www.whatismyip.com/**********/n09230945.asp
El fichero está guardado en el disco duro en: %temporary internet files%\Content.IE5\%serie de caracteres aleatorios%\n09230945[1].htm

– La dirección es la siguiente:
   • http://sousi.extasix.com/**********.htm
El fichero está guardado en el disco duro en: %temporary internet files%\Content.IE5\%serie de caracteres aleatorios%\genst[1].htm

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe csrcs.exe"



Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\DRM\amty]
   • "ilop"="1"
   • "fix"=""
   • "exp1"="%valores hex%"
   • "dreg"="%valores hex%"
   • "eggol"="0"
   • "regexp"="%número%"



Modifica las siguientes claves del registro:

Varias opciones de configuración en Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   Nuevo valor:
   • "csrcs"="c:\windows\\system32\\csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • "Hidden"=dword:00000002
     "SuperHidden"=dword:00000000
     "ShowSuperHidden"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuevo valor:
   • "CheckedValue"=dword:00000001

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta una copia suya en la siguiente carpeta compartida en la red:
   • %Directorio de redes utilizado comunmente%\%serie de caracteres aleatorios%.exe

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Andreas Feuerstein el jueves 11 de septiembre de 2008
Descripción actualizada por Andreas Feuerstein el martes 16 de septiembre de 2008

Volver . . . .