¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:DR/Autoit.RL
Descubierto:14/10/2009
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:927.495 Bytes
Suma de control MD5:e26110b93d3e2b047f11cb9b3158cc35
Versin del IVDF:7.01.06.109 - miércoles 14 de octubre de 2009

 General Mtodo de propagacin:
Autorun feature (es)


Alias:
   •  Mcafee: W32/Renocide.c virus
   •  Sophos: W32/Autoit-HA
   •  Eset: Win32/AutoRun.Autoit.BL
   •  Bitdefender: Trojan.Generic.2590538


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dainos
   • Suelta ficheros dainos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %SYSDIR%\csrcs.exe
   • \mijdwm.exe



Elimina la copia inicial del virus.



Elimina el siguiente fichero:
   • %TEMPDIR%\suicide.bat



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado despus:
   • C:\%serie de caracteres aleatorios%

%SYSDIR%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

%TEMPDIR%\suicide.bat



Intenta descargar algunos ficheros:

Las direcciones son las siguientes:
   • http://pimpumpam.orz.hm:48753/**********
   • http://lanlenio.or.tp:48753/**********
   • http://juirjeju.or.tp:48753/**********
Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

 Registro Aade las siguientes claves al registro:

[HKLM\SOFTWARE\Microsoft\DRM\amty]
   • "dreg"="408406541BC5BBE4DC197A2A0C46B9ACF2F90D96B151D7C7BCBD177641EE95F562E634D70EB70FB65FC8FBF0EC31276D8626D05B1ED70CC881A48DA07A7E649B"
   • "exp1"="408406541BC5BBE4DC197A2A0C46B9ADF2F90D96B151D7C7BCBD177641EE95F162E634D70EB70FB65FC8FBF0EC312619"
   • "fix"=""
   • "fix1"="1"
   • "ilop"="1"
   • "regexp"="%nmero%"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



Modifica las siguientes claves del registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • "Shell"="Explorer.exe csrcs.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Nuevo valor:
   • "GlobalUserOffline"=dword:0x00000000

 Infeccin en la red Creacin de direcciones IP:
Genera direcciones IP aleatorias, guardando solamente los primeros tres octetos de su propia direccin. Luego intenta establecer una conexin con las direcciones creadas.

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el martes 15 de diciembre de 2009
Descripción actualizada por Petre Galan el martes 15 de diciembre de 2009

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.