¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:DR/Autoit.WX.25
Descubierto:28/06/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:534.500 Bytes
Suma de control MD5:a32e6493cb613ed9a41031f9f8b72830
Versión del IVDF:7.10.03.193 - jueves, 4 de febrero de 2010

 General Método de propagación:
   • Función de autoejecución


Alias:
   •  Mcafee: W32/Autorun.worm.zf.gen
   •  Bitdefender: Trojan.Generic.4222181
   •  Panda: W32/Harakit.EA
   •  Eset: Win32/Tifaut.D


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Reduce las opciones de seguridad
   • Descarga ficheros dañinos
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\csrcs.exe
   • %disquetera%\gFrjip.eXe



Elimina los siguientes ficheros:
   • %TEMPDIR%\fkyfekh
   • %TEMPDIR%\~ip.tmp
   • %TEMPDIR%\tweviwr
   • %TEMPDIR%\aut4.tmp
   • %TEMPDIR%\aut5.tmp



Crea los siguientes ficheros:

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

%SYSDIR%\autorun.in
%SYSDIR%\autorun.i
%TEMPDIR%\tweviwr
%TEMPDIR%\fkyfekh
%TEMPDIR%\~ip.tmp
%TEMPDIR%\aut5.tmp
%TEMPDIR%\aut4.tmp



Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://suse.extasix.com:85/**********


– La dirección es la siguiente:
   • http://www.752b36f4.com/**********




Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\csrcs.exe"

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



Añade la siguiente clave al registro:

– [HKLM\Software\Microsoft\DRM\amty]
   • "dreg"="408406541BC5BBE4DC197A2A0C46B9ACF2F90D96B151D7C7BCBD177641EE95F562E634D70EB70FB65FC8FBF0EC31261C8626D05B1ED70CC881A48DA07A7E1A99"
   • "exp1"="408406541BC5BBE4DC197A2A0C46B9ACF2F90D96B151D7C7BCBD177741EE95F062E634D70EB70FB65FC8FBF3EC31261C"
   • "fir"="x"
   • "ilop"="1"



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • "Shell"="Explorer.exe csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuevo valor:
   • "CheckedValue"=dword:0x00000001

 Informaciones diversas  Para buscar una conexión a Internet, contacta los siguientes sitios web:
   • http://www.whatismyip.com/automation/n09230945.asp
   • http://checkip.dyndns.org


Objeto mutex:
Crea el siguiente objeto mutex:
   • 6E523163793968624

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el martes, 19 de octubre de 2010
Descripción actualizada por Andrei Ivanes el viernes, 22 de octubre de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.