¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Autorun.zvk
Descubierto:11/02/2009
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:24.660 Bytes
Suma de control MD5:3e960c1979b6c0678aca22caa6043449
Versión del IVDF:7.01.02.09 - miércoles, 11 de febrero de 2009

 General Método de propagación:
   • Autorun feature (es)


Alias:
   •  Mcafee: W32/Autorun.worm.bx
   •  Panda: W32/Autorun.IST.worm
   •  Eset: Win32/AutoRun.Agent.JA
   •  Bitdefender: Trojan.Agent.AMQP


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Bloquea el acceso a ciertos sitios web
   • Bloquea el acceso a portales de seguridad
   • Descarga ficheros dañinos
   • Suelta ficheros dañinos

 Ficheros  Se copia a sí mismo a los lugares siguientes. Estos archivos tienen un número indeterminado de bytes adjuntos, de forma que pueden ser distintos al original:
   • %WINDIR%\ini\ini.exe
   • \recycle.{%CLSID%}\ini.exe



Sobrescribe un fichero.
%SYSDIR%\drivers\etc\hosts



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%WINDIR%\ini\desktop.ini
\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

%PROGRAM FILES%\Common Files\Microsoft Shared\web server extensions\wsock32.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Autorun.nvc

%PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\wsock32.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Autorun.nvc

%WINDIR%\Tasks\°²×°.bat Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Autorun.zvk

%WINDIR%\ini\shit.vbs Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Script.11167

%WINDIR%\ini\wsock32.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Autorun.nvc

%todas las carpetas%\wsock32.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Autorun.nvc




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://w.wonthe.cn/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://w.ssddffgg.cn/d5/**********?mac=YHhYzoFSpF&ver=1.3

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes serán eliminadas.

– El acceso a los siguientes dominios está bloqueado:
   • 127.0.0.1 www.360.cn; 127.0.0.1 www.360safe.cn; 127.0.0.1
      www.360safe.com; 127.0.0.1 www.chinakv.com; 127.0.0.1
      www.rising.com.cn; 127.0.0.1 rising.com.cn; 127.0.0.1 dl.jiangmin.com;
      127.0.0.1 jiangmin.com; 127.0.0.1 www.jiangmin.com; 203.208.37.99
      www.duba.net; 127.0.0.1 www.eset.com.cn; 127.0.0.1 www.nod32.com;
      203.208.37.99 shadu.duba.net; 203.208.37.99 union.kingsoft.com;
      127.0.0.1 www.kaspersky.com.cn; 127.0.0.1 kaspersky.com.cn; 127.0.0.1
      virustotal.com; 127.0.0.1 www.kaspersky.com; 127.0.0.1 60.210.176.251;
      127.0.0.1 www.cnnod32.cn; 127.0.0.1 www.lanniao.org; 127.0.0.1
      www.nod32club.com; 127.0.0.1 www.dswlab.com; 127.0.0.1 bbs.sucop.com;
      127.0.0.1 www.virustotal.com; 127.0.0.1 tool.ikaka.com; 127.0.0.0
      360.qihoo.com; 127.0.0.1 qihoo.com; 127.0.0.1 www.qihoo.com; 127.0.0.1
      www.qihoo.cn; 127.0.0.1 124.40.51.17; 127.0.0.1 58.17.236.92


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el viernes, 26 de febrero de 2010
Descripción actualizada por Petre Galan el lunes, 1 de marzo de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.