¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:DR/Autoit.YH.331
Descubierto:24/08/2010
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:570.044 Bytes
Suma de control MD5:8c78dc19db83e8ad55eb4a8732476d57
Versin del VDF:7.10.04.195
Versin del IVDF:7.10.11.04 - martes 24 de agosto de 2010

 General Mtodos de propagacin:
    Funcin de autoejecucin
   • Peer to Peer


Alias:
   •  Mcafee: W32/Autorun.worm.zf.gen
   •  Sophos: W32/AutoIt-LA
   •  Bitdefender: Trojan.Autoit.ALR
   •  Panda: Trj/Autoit.gen
   •  Eset: Win32/Tifaut.D


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dainos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %disquetera%\alokium.exe
   • %SYSDIR%\csrcs.exe



Elimina los siguientes ficheros:
   • %TEMPDIR%\nonrlim
   • %TEMPDIR%\jicnohr
   • %TEMPDIR%\aut%nmero%.tmp



Crea los siguientes ficheros:

%disquetera%\Autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%

%TEMPDIR%\nonrlim
%TEMPDIR%\aut%nmero%.tmp
%TEMPDIR%\jicnohr



Intenta ejecutar el siguiente fichero:

Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\csrcs.exe

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "csrcs"="%SYSDIR%\csrcs.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "csrcs"="%SYSDIR%\csrcs.exe"



Aade la siguiente clave al registro:

[HKLM\Software\Microsoft\DRM\amty]
   • "ilop"="1"



Modifica las siguientes claves del registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • "Shell"="Explorer.exe csrcs.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000
   • "SuperHidden"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuevo valor:
   • "CheckedValue"=dword:0x00000001

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:   Extrae carpetas compartidas tras emplear las siguientes claves del registro:
   • HKCU\Software\Shareaza\Shareaza
   • HKLM\SOFTWARE\LimeWire
   • HKCU\Software\Kazaa\LocalContent
   • HKLM\SOFTWARE\DC++
   • HKCU\Software\eMule
   • HKCU\Software\Ares


 Informaciones diversas  Para buscar una conexin a Internet, contacta el siguiente sitio web:
   • http://www.whatismyip.com/automation/n09230945.asp
Accede a recursos de Internet:
   • http://suse.extasix.com/**********
   • http://www.5eb149c0.com/**********
   • http://wre.extasix.com/**********


Objeto mutex:
Crea el siguiente objeto mutex:
   • df8g1sdf68g18er1g8re16

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el viernes 4 de febrero de 2011
Descripción actualizada por Petre Galan el viernes 4 de febrero de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.