¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:DR/Autoit.aft.598
Descubierto:23/08/2010
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:534.792 Bytes
Suma de control MD5:80b5a47e61b73e49b1e586a501762ac2
Versin del IVDF:7.10.10.244 - lunes 23 de agosto de 2010

 General Mtodos de propagacin:
    Funcin de autoejecucin
   • Red local


Alias:
   •  Mcafee: W32/Autorun.worm.zf.gen
   •  Bitdefender: Trojan.Autoit.AKU
   •  Panda: Trj/Autoit.gen
   •  Eset: Win32/Tifaut.D


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dainos
   • Suelta ficheros dainos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %SYSDIR%\csrcs.exe
   • %SYSDIR%\79546806.exe
   • %disquetera%\%serie de caracteres aleatorios de seis dgitos%.exe



Elimina la copia inicial del virus.



Elimina los siguientes ficheros:
   • %SYSDIR%\acledit.dll
   • %SYSDIR%\aaaamon.dll
   • %TEMPDIR%\aut%letra%.tmp
   • %TEMPDIR%\%serie de caracteres aleatorios de siete dgitos%
   • %SYSDIR%\aaclient.dll
   • %SYSDIR%\access.cpl
   • %SYSDIR%\$winnt$.inf
   • %SYSDIR%\accwiz.exe
   • %SYSDIR%\aclui.dll
   • %SYSDIR%\6to4svc.dll
   • %SYSDIR%\acctres.dll
   • %SYSDIR%\12520850.cpx
   • %SYSDIR%\activeds.dll
   • %SYSDIR%\12520437.cpx



Crea los siguientes ficheros:

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%

%SYSDIR%\RegShellSM.exe
%SYSDIR%\autorun.in
%TEMPDIR%\aut%letra%.tmp
%SYSDIR%\autorun.i
%disquetera%\khx
%TEMPDIR%\%serie de caracteres aleatorios de siete dgitos%



Intenta descargar algunos ficheros:

La direccin es la siguiente:
   • http://www.fake_trafic_test.vasthost.co.cc/test1/admin/**********?v=%nmero%&id=%cadena de caracteres%


La direccin es la siguiente:
   • http://95.211.21.184:89/**********


La direccin es la siguiente:
   • http://thepiratebay.org/top/**********


La direccin es la siguiente:
   • http://www.d01c0a23.com:82/**********




Intenta ejecutar los ficheros siguientes:

Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\csrcs.exe


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /c net view %direccin IP%

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



Elimina del registro de Windows el valor de la siguiente clave:

–  [HKLM\Software\Microsoft\DRM\amty]
   • fir



Aade la siguiente clave al registro:

[HKLM\Software\Microsoft\DRM\amty]
   • "bwp1"="noneed"
   • "cb3"="noneed"
   • "dreg"="%valores hex%"
   • "exp1"="%valores hex%"
   • "hkx14"="noneed"
   • "ilop"="1"
   • "p1"="1"
   • "regexp"="-0.903692205091507"
   • "rp2"="noneed"



Modifica las siguientes claves del registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • "Shell"="Explorer.exe csrcs.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuevo valor:
   • "CheckedValue"=dword:0x00000001

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Exploit:
Emplea la siguiente brecha de seguridad:
– MS05-039 (Vulnerability in Plug and Play)


Creacin de direcciones IP:
Genera direcciones IP aleatorias, guardando solamente los primeros tres octetos de su propia direccin. Luego intenta establecer una conexin con las direcciones creadas.

 Informaciones diversas  Para buscar una conexin a Internet, contacta el siguiente sitio web:
   • http://www.whatismyip.com/automation/n09230945.asp


Objeto mutex:
Crea el siguiente objeto mutex:
   • 6E523163793968624

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el miércoles 15 de diciembre de 2010
Descripción actualizada por Petre Galan el miércoles 15 de diciembre de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.