¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/AutoIt.YH
Descubierto:18/08/2010
Tipo:Gusano
Subtipo:Downloader
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:641.728 Bytes
Suma de control MD5:a52344dbf51069a071bd6cf719ff8ddf
Versión del IVDF:7.10.10.208 - miércoles, 18 de agosto de 2010

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Worm.Win32.AutoIt.yh
   •  Avast: AutoIt:Balero-C
   •  Panda: Trj/CI.A
   •  DrWeb: Win32.HLLW.Autoruner.based
   •  Ikarus: Worm.Win32.AutoIt


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Suelta ficheros
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\csrcs.exe
   • %SYSDIR%\%serie de caracteres aleatorios%.exe
   • c:\%directorio actual%\%serie de caracteres aleatorios%.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

– Ficheros temporales, que pueden ser eliminados después:
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\%serie de caracteres aleatorios%
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\%serie de caracteres aleatorios%

– c:\%directorio actual%\s.cmd Además, el fichero es ejecutado después de haber sido creado. Este es un fichero sin código viral y contiene información acerca del programa en sí.



Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://fl**********.exe
El fichero está guardado en el disco duro en: %SYSDIR%\RegShellSM.exe Además, este fichero es ejecutado después de haber sido completamente descargado.

– La dirección es la siguiente:
   • http://9**********.exe
El fichero está guardado en el disco duro en: %SYSDIR%\ip.exe Además, este fichero es ejecutado después de haber sido completamente descargado.

 Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "csrcs"="%SYSDIR%\csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002
   • "SuperHidden"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"=dword:00000001



Añade las siguientes claves al registro:

– [HKLM\Software\Microsoft\DRM\amty]
   • "ilop"="1"
   • "fix"=""
   • "fix1"="1"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Carlos Valero Llabata el viernes, 20 de agosto de 2010
Descripción actualizada por Andrei Ivanes el jueves, 26 de agosto de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.