¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/AutoIt.YH
Descubierto:18/08/2010
Tipo:Gusano
Subtipo:Downloader
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:641.728 Bytes
Suma de control MD5:a52344dbf51069a071bd6cf719ff8ddf
Versin del IVDF:7.10.10.208 - miércoles 18 de agosto de 2010

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Kaspersky: Worm.Win32.AutoIt.yh
     Avast: AutoIt:Balero-C
   •  Panda: Trj/CI.A
     DrWeb: Win32.HLLW.Autoruner.based
     Ikarus: Worm.Win32.AutoIt


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efectos secundarios:
   • Suelta ficheros
   • Suelta ficheros dainos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %SYSDIR%\csrcs.exe
   • %SYSDIR%\%serie de caracteres aleatorios%.exe
   • c:\%directorio actual%\%serie de caracteres aleatorios%.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

– Ficheros temporales, que pueden ser eliminados despus:
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\%serie de caracteres aleatorios%
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\%serie de caracteres aleatorios%

c:\%directorio actual%\s.cmd Adems, el fichero es ejecutado despus de haber sido creado. Este es un fichero sin cdigo viral y contiene informacin acerca del programa en s.



Intenta descargar algunos ficheros:

La direccin es la siguiente:
   • http://fl**********.exe
El fichero est guardado en el disco duro en: %SYSDIR%\RegShellSM.exe Adems, este fichero es ejecutado despus de haber sido completamente descargado.

La direccin es la siguiente:
   • http://9**********.exe
El fichero est guardado en el disco duro en: %SYSDIR%\ip.exe Adems, este fichero es ejecutado despus de haber sido completamente descargado.

 Registro Aade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "csrcs"="%SYSDIR%\csrcs.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Hidden"=dword:00000002
   • "SuperHidden"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   • "CheckedValue"=dword:00000001



Aade las siguientes claves al registro:

[HKLM\Software\Microsoft\DRM\amty]
   • "ilop"="1"
   • "fix"=""
   • "fix1"="1"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Carlos Valero Llabata el viernes 20 de agosto de 2010
Descripción actualizada por Andrei Ivanes el jueves 26 de agosto de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.