¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Autorun.zvl
Descubierto:11/02/2009
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:24.660 Bytes
Suma de control MD5:0207a4d69009e38edc0cbeb1e794034d
Versión del IVDF:7.01.02.09 - miércoles, 11 de febrero de 2009

 General Método de propagación:
   • Autorun feature (es)


Alias:
   •  Mcafee: W32/Autorun.worm.ex
   •  Panda: W32/Autorun.IST.worm
   •  Eset: Win32/AutoRun.Agent.JA
   •  Bitdefender: Trojan.Agent.AMQQ


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Bloquea el acceso a ciertos sitios web
   • Bloquea el acceso a portales de seguridad
   • Descarga un fichero dañino
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros  Se copia a sí mismo a los lugares siguientes. Estos archivos tienen un número indeterminado de bytes adjuntos, de forma que pueden ser distintos al original:
   • %WINDIR%\ini\ini.exe
   • \recycle.{%GUID%}\ini.exe



Sobrescribe un fichero.
%SYSDIR%\drivers\etc\hosts



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%WINDIR%\ini\desktop.ini
\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

%WINDIR%\ini\wsock32.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Autorun.nvc

%todas las carpetas%\wsock32.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Autorun.nvc

%WINDIR%\ini\shit.vbs Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Script.11167

%WINDIR%\Tasks\°²×°.bat Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Autorun.zvl




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://w.wonthe.cn/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://w.ssddffgg.cn/d4/**********


– La dirección es la siguiente:
   • http://w.ssddffgg.cn/**********

 Registro Elimina del registro de Windows los valores de la siguiente clave:

–  [HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings]
   • ActiveDebugging
   • DisplayLogo
   • SilentTerminate
   • UseWINSAFER



Elimina las siguientes claves del registro, incluyendo todos sus valores y subclaves:
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\]



Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}]
   • "@"="windir"
   • "stubpath"="%WINDIR%\ini\shit.vbs"

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes serán eliminadas.

– El acceso a los siguientes dominios está bloqueado:
   • 127.0.0.1 www.360.cn; 127.0.0.1 www.360safe.cn; 127.0.0.1
      www.360safe.com; 127.0.0.1 www.chinakv.com; 127.0.0.1
      www.rising.com.cn; 127.0.0.1 rising.com.cn; 127.0.0.1 dl.jiangmin.com;
      127.0.0.1 jiangmin.com; 127.0.0.1 www.jiangmin.com; 203.208.37.99
      www.duba.net; 127.0.0.1 www.eset.com.cn; 127.0.0.1 www.nod32.com;
      203.208.37.99 shadu.duba.net; 203.208.37.99 union.kingsoft.com;
      127.0.0.1 www.kaspersky.com.cn; 127.0.0.1 kaspersky.com.cn; 127.0.0.1
      virustotal.com; 127.0.0.1 www.kaspersky.com; 127.0.0.1 60.210.176.251;
      127.0.0.1 www.cnnod32.cn; 127.0.0.1 www.lanniao.org; 127.0.0.1
      www.nod32club.com; 127.0.0.1 www.dswlab.com; 127.0.0.1 bbs.sucop.com;
      127.0.0.1 www.virustotal.com; 127.0.0.1 tool.ikaka.com; 127.0.0.0
      360.qihoo.com; 127.0.0.1 qihoo.com; 127.0.0.1 www.qihoo.com; 127.0.0.1
      www.qihoo.cn; 127.0.0.1 124.40.51.17; 127.0.0.1 58.17.236.92


 Finalización de los procesos Listado de los procesos finalizados:
   • rfwproxy.exe; rfwmain.exe; rfwsrv.exe; Navapsvc.exe; Navapw32.exe;
      EGHOST.EXE; FileDsty.exe; RavTask.exe; RavMonD.exe; UlibCfg.exe;
      CCenter.exe; RavMon.exe; RavLite.exe; Rav.exe; kasmain.exe;
      kissvc.exe; kavstart.exe; kwatch.exe; kav32.exe; 360Safe.exe; avp.exe;
      vptray.exe; mmsk.exe; FWMon.exe; THGUARD.EXE; TrojanHunter.exe;
      TBSCAN.EXE; WEBSCANX.EXE; Iparmor.exe; PFW.exe; AST.exe; ast.exe;
      360tray.exe


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el viernes, 26 de febrero de 2010
Descripción actualizada por Andrei Ivanes el martes, 2 de marzo de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.