Nombre:Worm/Autorun.gas.1
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:37.382 Bytes
Suma de control MD5:ae2ed401506cee91995e322124454c31
Versión del VDF:7.01.04.86
Versión del IVDF:7.01.04.89 - domingo 14 de junio de 2009

 General Alias:
   •  Mcafee: Generic VB.i
   •  Kaspersky: Worm.Win32.AutoRun.gas
   •  F-Secure: Worm.Win32.AutoRun.gas
   •  Sophos: Mal/Generic-A
   •  Eset: Win32/Injector.QH
   •  Bitdefender: Trojan.VB.NZJ


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • C:\NEXT\FILES\NEXT.exe




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://redex.freehostia.com/*****
El fichero está guardado en el disco duro en: %home%\yzxxsx5.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dropper.gen


– La dirección es la siguiente:
   • http://redex.freehostia.com/*****
El fichero está guardado en el disco duro en: %home%\Update.exe Detectado como: TR/Dropper.gen

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {67KLN5J0-4OPM-33WE-AAX5-24KC2A3453431}]
   • "StubPath"="c:\NEXT\FILES\NEXT.exe"

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • explorer.exe


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • NxT_x_1

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Irina Diaconescu el viernes 3 de julio de 2009
Descripción actualizada por Andrei Gherman el martes 7 de julio de 2009

Volver . . . .