¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Autorun.zvj
Descubierto:11/02/2009
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:24.660 Bytes
Suma de control MD5:a4e34591b7ec8e73b0d8aec161bf9395
Versión del IVDF:7.01.02.09 - miércoles, 11 de febrero de 2009

 General Método de propagación:
   • Autorun feature (es)


Alias:
   •  Mcafee: W32/Autorun.worm.ex
   •  Panda: W32/Autorun.IST.worm
   •  Eset: Win32/AutoRun.Agent.JA
   •  Bitdefender: Trojan.Agent.AMQQ


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Bloquea el acceso a ciertos sitios web
   • Bloquea el acceso a portales de seguridad
   • Descarga ficheros dañinos
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros  Se copia a sí mismo a los lugares siguientes. Estos archivos tienen un número indeterminado de bytes adjuntos, de forma que pueden ser distintos al original:
   • %WINDIR%\ini\ini.exe
   • \recycle.{%GUID%}\ini.exe



Sobrescribe un fichero.
%SYSDIR%\drivers\etc\hosts



Elimina la copia inicial del virus.



Elimina el siguiente fichero:
   • %WINDIR%\Help\%all files%



Crea los siguientes ficheros:

%WINDIR%\ini\desktop.ini
\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

%WINDIR%\ini\wsock32.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Autorun.nvc

%todas las carpetas%\wsock32.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Autorun.nvc

%WINDIR%\ini\shit.vbs Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Script.11167

%WINDIR%\Tasks\°²×°.bat Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Autorun.zvj




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://w.wonthe.cn/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://w.ssddffgg.cn/d2/**********?mac=dKYBBzvozo&ver=1.3
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://w.ssddffgg.cn/**********

 Registro Elimina del registro de Windows los valores de la siguiente clave:

–  [HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings]
   • ActiveDebugging
   • DisplayLogo
   • SilentTerminate
   • UseWINSAFER



Elimina las siguientes claves del registro, incluyendo todos sus valores y subclaves:
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\]



Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {H8I22RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}]
   • "@"="windir"
   • "stubpath"="%WINDIR%\ini\shit.vbs"

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes serán eliminadas.

– El acceso a los siguientes dominios está bloqueado:
   • 127.0.0.1 www.360.cn; 127.0.0.1 www.360safe.cn; 127.0.0.1
      www.360safe.com; 127.0.0.1 www.chinakv.com; 127.0.0.1
      www.rising.com.cn; 127.0.0.1 rising.com.cn; 127.0.0.1 dl.jiangmin.com;
      127.0.0.1 jiangmin.com; 127.0.0.1 www.jiangmin.com; 203.208.37.99
      www.duba.net; 127.0.0.1 www.eset.com.cn; 127.0.0.1 www.nod32.com;
      203.208.37.99 shadu.duba.net; 203.208.37.99 union.kingsoft.com;
      127.0.0.1 www.kaspersky.com.cn; 127.0.0.1 kaspersky.com.cn; 127.0.0.1
      virustotal.com; 127.0.0.1 www.kaspersky.com; 127.0.0.1 60.210.176.251;
      127.0.0.1 www.cnnod32.cn; 127.0.0.1 www.lanniao.org; 127.0.0.1
      www.nod32club.com; 127.0.0.1 www.dswlab.com; 127.0.0.1 bbs.sucop.com;
      127.0.0.1 www.virustotal.com; 127.0.0.1 tool.ikaka.com; 127.0.0.0
      360.qihoo.com; 127.0.0.1 qihoo.com; 127.0.0.1 www.qihoo.com; 127.0.0.1
      www.qihoo.cn; 127.0.0.1 124.40.51.17; 127.0.0.1 58.17.236.92


 Finalización de los procesos Listado de los procesos finalizados:
   • rfwproxy.exe; rfwmain.exe; rfwsrv.exe; Navapsvc.exe; Navapw32.exe;
      EGHOST.EXE; FileDsty.exe; RavTask.exe; RavMonD.exe; UlibCfg.exe;
      CCenter.exe; RavMon.exe; RavLite.exe; Rav.exe; kasmain.exe;
      kissvc.exe; kavstart.exe; kwatch.exe; kav32.exe; 360Safe.exe; avp.exe;
      vptray.exe; mmsk.exe; FWMon.exe; THGUARD.EXE; TrojanHunter.exe;
      TBSCAN.EXE; WEBSCANX.EXE; Iparmor.exe; PFW.exe; AST.exe; ast.exe;
      360tray.exe


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el viernes, 26 de febrero de 2010
Descripción actualizada por Andrei Ivanes el martes, 2 de marzo de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.