¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Sohaned.BP
Descubierto:07/11/2008
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:327.109 Bytes
Suma de control MD5:8c4c10bc0cd60742a57eb6a4e6f3c261
Versión del IVDF:7.01.00.55 - viernes, 7 de noviembre de 2008

 General Método de propagación:
   • Autorun feature (es)


Alias:
   •  Mcafee: W32/YahLover.worm.gen
   •  Panda: W32/Autorun.JHJ
   •  Eset: Win32/Autoit.EB
   •  Bitdefender: Worm.Generic.39680


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\gphone.exe
   • %WINDIR%\gphone.exe
   • \gphone.exe



Crea los siguientes ficheros:

\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

%SYSDIR%\autorun.ini Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/AutoIt.AV




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://rnd009.googlepages.com/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://rnd009.googlepages.com/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Yahoo Messengger"="%SYSDIR%\gphone.exe"



Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • "Shell"="Explorer.exe gphone.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   Nuevo valor:
   • "AtTaskMaxHours"=dword:0x00000000

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuevo valor:
   • "Start Page"="http://rnd009.googlepages.com/google.html"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuevo valor:
   • "NofolderOptions"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   Nuevo valor:
   • "Default_Page_URL"="http://rnd009.googlepages.com/google.html"
   • "Default_Search_URL"="http://rnd009.googlepages.com/google.html"
   • "Search Page"="http://rnd009.googlepages.com/google.html"
   • "Start Page"="http://rnd009.googlepages.com/google.html"

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el jueves, 11 de marzo de 2010
Descripción actualizada por Petre Galan el jueves, 11 de marzo de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.