¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:DR/Autoit.aft.598
Descubierto:23/08/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:534.792 Bytes
Suma de control MD5:80b5a47e61b73e49b1e586a501762ac2
Versión del IVDF:7.10.10.244 - lunes, 23 de agosto de 2010

 General Métodos de propagación:
   • Función de autoejecución
   • Red local


Alias:
   •  Mcafee: W32/Autorun.worm.zf.gen
   •  Bitdefender: Trojan.Autoit.AKU
   •  Panda: Trj/Autoit.gen
   •  Eset: Win32/Tifaut.D


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\csrcs.exe
   • %SYSDIR%\79546806.exe
   • %disquetera%\%serie de caracteres aleatorios de seis dígitos%.exe



Elimina la copia inicial del virus.



Elimina los siguientes ficheros:
   • %SYSDIR%\acledit.dll
   • %SYSDIR%\aaaamon.dll
   • %TEMPDIR%\aut%letra%.tmp
   • %TEMPDIR%\%serie de caracteres aleatorios de siete dígitos%
   • %SYSDIR%\aaclient.dll
   • %SYSDIR%\access.cpl
   • %SYSDIR%\$winnt$.inf
   • %SYSDIR%\accwiz.exe
   • %SYSDIR%\aclui.dll
   • %SYSDIR%\6to4svc.dll
   • %SYSDIR%\acctres.dll
   • %SYSDIR%\12520850.cpx
   • %SYSDIR%\activeds.dll
   • %SYSDIR%\12520437.cpx



Crea los siguientes ficheros:

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

%SYSDIR%\RegShellSM.exe
%SYSDIR%\autorun.in
%TEMPDIR%\aut%letra%.tmp
%SYSDIR%\autorun.i
%disquetera%\khx
%TEMPDIR%\%serie de caracteres aleatorios de siete dígitos%



Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://www.fake_trafic_test.vasthost.co.cc/test1/admin/**********?v=%número%&id=%cadena de caracteres%


– La dirección es la siguiente:
   • http://95.211.21.184:89/**********


– La dirección es la siguiente:
   • http://thepiratebay.org/top/**********


– La dirección es la siguiente:
   • http://www.d01c0a23.com:82/**********




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\csrcs.exe


– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /c net view %dirección IP%

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



Elimina del registro de Windows el valor de la siguiente clave:

–  [HKLM\Software\Microsoft\DRM\amty]
   • fir



Añade la siguiente clave al registro:

– [HKLM\Software\Microsoft\DRM\amty]
   • "bwp1"="noneed"
   • "cb3"="noneed"
   • "dreg"="%valores hex%"
   • "exp1"="%valores hex%"
   • "hkx14"="noneed"
   • "ilop"="1"
   • "p1"="1"
   • "regexp"="-0.903692205091507"
   • "rp2"="noneed"



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • "Shell"="Explorer.exe csrcs.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuevo valor:
   • "CheckedValue"=dword:0x00000001

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea la siguiente brecha de seguridad:
– MS05-039 (Vulnerability in Plug and Play)


Creación de direcciones IP:
Genera direcciones IP aleatorias, guardando solamente los primeros tres octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones creadas.

 Informaciones diversas  Para buscar una conexión a Internet, contacta el siguiente sitio web:
   • http://www.whatismyip.com/automation/n09230945.asp


Objeto mutex:
Crea el siguiente objeto mutex:
   • 6E523163793968624

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el miércoles, 15 de diciembre de 2010
Descripción actualizada por Petre Galan el miércoles, 15 de diciembre de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.