¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:DR/Autoit.RL
Descubierto:14/10/2009
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:927.495 Bytes
Suma de control MD5:e26110b93d3e2b047f11cb9b3158cc35
Versión del IVDF:7.01.06.109 - miércoles, 14 de octubre de 2009

 General Método de propagación:
• Autorun feature (es)


Alias:
   •  Mcafee: W32/Renocide.c virus
   •  Sophos: W32/Autoit-HA
   •  Eset: Win32/AutoRun.Autoit.BL
   •  Bitdefender: Trojan.Generic.2590538


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\csrcs.exe
   • \mijdwm.exe



Elimina la copia inicial del virus.



Elimina el siguiente fichero:
   • %TEMPDIR%\suicide.bat



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado después:
   • C:\%serie de caracteres aleatorios%

%SYSDIR%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

%TEMPDIR%\suicide.bat



Intenta descargar algunos ficheros:

– Las direcciones son las siguientes:
   • http://pimpumpam.orz.hm:48753/**********
   • http://lanlenio.or.tp:48753/**********
   • http://juirjeju.or.tp:48753/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Microsoft\DRM\amty]
   • "dreg"="408406541BC5BBE4DC197A2A0C46B9ACF2F90D96B151D7C7BCBD177641EE95F562E634D70EB70FB65FC8FBF0EC31276D8626D05B1ED70CC881A48DA07A7E649B"
   • "exp1"="408406541BC5BBE4DC197A2A0C46B9ADF2F90D96B151D7C7BCBD177641EE95F162E634D70EB70FB65FC8FBF0EC312619"
   • "fix"=""
   • "fix1"="1"
   • "ilop"="1"
   • "regexp"="%número%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • "Shell"="Explorer.exe csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Nuevo valor:
   • "GlobalUserOffline"=dword:0x00000000

 Infección en la red Creación de direcciones IP:
Genera direcciones IP aleatorias, guardando solamente los primeros tres octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones creadas.

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el martes, 15 de diciembre de 2009
Descripción actualizada por Petre Galan el martes, 15 de diciembre de 2009

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.