Nombre:Worm/Autorun.GU
Descubierto:25/09/2009
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:86.016 Bytes
Suma de control MD5:5d73b88dcc8e0c9e641baefdb3318eef
Versión del IVDF:7.01.06.37 - viernes 25 de septiembre de 2009

 General Método de propagación:
   • Autorun feature (es)


Alias:
   •  Mcafee: W32/Autorun.worm.c
   •  Sophos: Mal/VBInject-D
   •  Panda: W32/Autorun.JSG
   •  Eset: Win32/AutoRun.KS
   •  Bitdefender: Worm.Generic.103833


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • \Zolander\Polanda\box.exe



Crea los siguientes ficheros:

\Zolander\Polanda\DeSKtOp.InI
\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

 Registro Añade la siguiente clave al registro:

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {23MAD6M8-1MAD-77AD-JIM1-73OP5G3369085}]
   • "StubPath"="c:\Zolander\Polanda\box.exe"

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: b2.scorevidic.net
Puerto: 5900
Apodo: VirUs-%serie de caracteres aleatorios%

Servidor: redem.turboshells.net

Servidor: redem.homelinux.org

 Inyectar el código viral en otros procesos – Se inyecta a sí mismo como hilo de ejecución remoto en un proceso.

    Nombre del proceso:
   • explorer.exe


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el jueves 18 de marzo de 2010
Descripción actualizada por Petre Galan el jueves 18 de marzo de 2010

Volver . . . .