¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Sohaned.BP
Descubierto:07/11/2008
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:327.109 Bytes
Suma de control MD5:8c4c10bc0cd60742a57eb6a4e6f3c261
Versin del IVDF:7.01.00.55 - viernes 7 de noviembre de 2008

 General Mtodo de propagacin:
    Autorun feature (es)


Alias:
   •  Mcafee: W32/YahLover.worm.gen
   •  Panda: W32/Autorun.JHJ
   •  Eset: Win32/Autoit.EB
   •  Bitdefender: Worm.Generic.39680


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dainos
   • Suelta ficheros dainos
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %SYSDIR%\gphone.exe
   • %WINDIR%\gphone.exe
   • \gphone.exe



Crea los siguientes ficheros:

\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

%SYSDIR%\autorun.ini Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/AutoIt.AV




Intenta descargar algunos ficheros:

La direccin es la siguiente:
   • http://rnd009.googlepages.com/**********
Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

La direccin es la siguiente:
   • http://rnd009.googlepages.com/**********
Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

 Registro Aade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Yahoo Messengger"="%SYSDIR%\gphone.exe"



Aade la siguiente clave al registro:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001



Modifica las siguientes claves del registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • "Shell"="Explorer.exe gphone.exe"

[HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   Nuevo valor:
   • "AtTaskMaxHours"=dword:0x00000000

[HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuevo valor:
   • "Start Page"="http://rnd009.googlepages.com/google.html"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuevo valor:
   • "NofolderOptions"=dword:0x00000001

[HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   Nuevo valor:
   • "Default_Page_URL"="http://rnd009.googlepages.com/google.html"
   • "Default_Search_URL"="http://rnd009.googlepages.com/google.html"
   • "Search Page"="http://rnd009.googlepages.com/google.html"
   • "Start Page"="http://rnd009.googlepages.com/google.html"

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el jueves 11 de marzo de 2010
Descripción actualizada por Petre Galan el jueves 11 de marzo de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.