¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:DR/Autoit.aft.185
Descubierto:02/07/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:583.480 Bytes
Suma de control MD5:c6342635d5763c5d90778e8fe4062de1
Versión del IVDF:7.10.08.246 - viernes, 2 de julio de 2010

 General Métodos de propagación:
   • Función de autoejecución
   • Red local


Alias:
   •  Mcafee: W32/Autorun.worm.zf.gen
   •  Bitdefender: Trojan.Generic.4759704
   •  Panda: Trj/Autoit.gen
   •  Eset: Win32/Tifaut.D


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\csrcs.exe
   • %disquetera%\%serie de caracteres aleatorios de seis dígitos%.exe
   • %SYSDIR%\54404430.exe



Elimina la copia inicial del virus.



Elimina los siguientes ficheros:
   • %SYSDIR%\acledit.dll
   • %SYSDIR%\aaaamon.dll
   • %TEMPDIR%\aut%letra%.tmp
   • %SYSDIR%\aaclient.dll
   • %SYSDIR%\access.cpl
   • %SYSDIR%\$winnt$.inf
   • %SYSDIR%\accwiz.exe
   • %SYSDIR%\aclui.dll
   • %SYSDIR%\6to4svc.dll
   • %SYSDIR%\acctres.dll
   • %TEMPDIR%\%serie de caracteres aleatorios%
   • %SYSDIR%\12520850.cpx
   • %SYSDIR%\activeds.dll
   • %SYSDIR%\12520437.cpx



Crea los siguientes ficheros:

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

%SYSDIR%\RegShellSM.exe
%SYSDIR%\autorun.in
%TEMPDIR%\%serie de caracteres aleatorios%
%TEMPDIR%\aut%letra%.tmp
%SYSDIR%\autorun.i
%disquetera%\khx



Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://www.fake_trafic_test.vasthost.co.cc/test1/admin/**********?v=%número%&id=%cadena de caracteres%


– La dirección es la siguiente:
   • http://95.211.21.184:89/**********


– La dirección es la siguiente:
   • http://thepiratebay.org/top/**********


– La dirección es la siguiente:
   • http://www.0358c1ad.com:86/**********




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\csrcs.exe


– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /c net view %dirección IP%

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



Elimina del registro de Windows el valor de la siguiente clave:

–  [HKLM\Software\Microsoft\DRM\amty]
   • fir



Añade la siguiente clave al registro:

– [HKLM\Software\Microsoft\DRM\amty]
   • "bwp1"="noneed"
   • "cb3"="noneed"
   • "dreg"="%valores hex%"
   • "ep1"="noneed"
   • "exp1"="%valores hex%"
   • "hkx14"="noneed"
   • "ilop"="1"
   • "p1"="1"
   • "regexp"="-0.903692205091507"
   • "rp2"="noneed"



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • "Shell"="Explorer.exe csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuevo valor:
   • "CheckedValue"=dword:0x00000001

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea la siguiente brecha de seguridad:
– MS05-039 (Vulnerability in Plug and Play)


Creación de direcciones IP:
Genera direcciones IP aleatorias, guardando solamente los primeros tres octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones creadas.

 Informaciones diversas  Para buscar una conexión a Internet, contacta el siguiente sitio web:
   • http://www.whatismyip.com/automation/n09230945.asp


Objeto mutex:
Crea el siguiente objeto mutex:
   • 6E523163793968624

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el miércoles, 15 de diciembre de 2010
Descripción actualizada por Petre Galan el miércoles, 15 de diciembre de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.