¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Autorun.hib
Descubierto:16/02/2011
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:345.849 Bytes
Suma de control MD5:4a904202c22f6dadd3f1012206bee466
Versión del VDF:7.10.08.215
Versión del IVDF:7.11.03.121 - miércoles, 16 de febrero de 2011

 General Método de propagación:
   • Función de autoejecución


Alias:
   •  Mcafee: W32/Autorun.worm.g
   •  Kaspersky: Worm.Win32.AutoRun.hib
   •  Sophos: W32/AutoRun-BNR
   •  Bitdefender: Trojan.Autoit.ANK
   •  Panda: W32/Autorun.JDC
   •  GData: Trojan.Autoit.ANK


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\system32_.exe
   • %SYSDIR%_.exe
   • %MAPPED DRIVE%\%todas las carpetas%\%nombre de directorio%.exe
   • %disquetera%\system32_.exe



Elimina los siguientes ficheros:
   • C:\System Volume Information\%all files%
   • C:\System Volume Information



Crea los siguientes ficheros:

%SYSDIR%\autorun.ini
%disquetera%\Autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C AT /delete /yes


– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\system32_.exe


– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C cacls "C:\system volume information" /e /g "%nombre del usuario actual%":f

 Registro Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN]
   • "RunOnceComplete"=dword:0x00000001
   • "RunOnceHasShown"=dword:0x00000001

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   • "HomePage"=dword:0x00000001

– [HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   • "HomePage"=dword:0x00000001

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "RunOnceComplete"=dword:0x00000001
   • "RunOnceHasShown"=dword:0x00000001



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\
   {0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
   Nuevo valor:
   • "URL"="http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?}"

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN]
   Nuevo valor:
   • "Default_Page_URL"="http://h1.ripway.com/google121/index.html"
   • "Default_Search_URL"="http://h1.ripway.com/google121/index.html"
   • "Search Page"="http://h1.ripway.com/google121/index.html"
   • "Start Page"="http://h1.ripway.com/google121/index.html"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuevo valor:
   • "Start Page"="http://h1.ripway.com/google121/index.html"

– [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\
   {0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
   Nuevo valor:
   • "URL"="http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?}"

 Informaciones diversas Accede a recursos de Internet:
   • http://recovery.myvnc.com/**********;
      http://h1.ripway.com/sdb070/**********;
      http://h1.ripway.com/sdb054/**********;
      http://h1.ripway.com/sdb055/**********;
      http://h1.ripway.com/sdb056/**********;
      http://h1.ripway.com/sdb057/**********;
      http://h1.ripway.com/sdb058/**********;
      http://h1.ripway.com/sdb059/**********;
      http://h1.ripway.com/sdb060/**********;
      http://h1.ripway.com/sdb061/**********;
      http://h1.ripway.com/sdb062/**********;
      http://h1.ripway.com/sdb063/**********;
      http://h1.ripway.com/sdb064/**********;
      http://h1.ripway.com/sdb065/**********;
      http://h1.ripway.com/sdb066/**********;
      http://h1.ripway.com/sdb067/**********;
      http://h1.ripway.com/sdb068/**********;
      http://h1.ripway.com/sdb069/**********;
      http://h1.ripway.com/sdb053/**********;
      http://h1.ripway.com/sdb071/**********;
      http://h1.ripway.com/sdb072/**********;
      http://h1.ripway.com/sdb073/**********;
      http://h1.ripway.com/sdb074/**********;
      http://h1.ripway.com/sdb075/**********;
      http://h1.ripway.com/sdb076/**********;
      http://h1.ripway.com/sdb077/**********;
      http://h1.ripway.com/sdb078/**********;
      http://h1.ripway.com/sdb079/**********;
      http://h1.ripway.com/sdb080/**********;
      http://h1.ripway.com/sdb081/**********;
      http://h1.ripway.com/sdb082/**********;
      http://h1.ripway.com/sdb083/**********;
      http://h1.ripway.com/sdb084/**********;
      http://h1.ripway.com/sdb085/**********;
      http://h1.ripway.com/sdb086/**********;
      http://h1.ripway.com/sdb087/**********;
      http://h1.ripway.com/sdb088/**********;
      http://h1.ripway.com/sdb089/**********;
      http://h1.ripway.com/sdb090/**********;
      http://h1.ripway.com/sdb091/**********;
      http://h1.ripway.com/sdb092/**********;
      http://h1.ripway.com/sdb093/**********;
      http://h1.ripway.com/sdb094/**********;
      http://h1.ripway.com/sdb095/**********;
      http://h1.ripway.com/sdb096/**********;
      http://h1.ripway.com/sdb097/**********;
      http://h1.ripway.com/sdb098/**********;
      http://h1.ripway.com/sdb099/**********;
      http://h1.ripway.com/sdb0100/**********


Objeto mutex:
Crea el siguiente objeto mutex:
   • test

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el miércoles, 13 de abril de 2011
Descripción actualizada por Petre Galan el viernes, 15 de abril de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.