¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Autorun.hib
Descubierto:16/02/2011
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:345.849 Bytes
Suma de control MD5:4a904202c22f6dadd3f1012206bee466
Versin del VDF:7.10.08.215
Versin del IVDF:7.11.03.121 - miércoles 16 de febrero de 2011

 General Mtodo de propagacin:
    Funcin de autoejecucin


Alias:
   •  Mcafee: W32/Autorun.worm.g
   •  Kaspersky: Worm.Win32.AutoRun.hib
   •  Sophos: W32/AutoRun-BNR
   •  Bitdefender: Trojan.Autoit.ANK
   •  Panda: W32/Autorun.JDC
     GData: Trojan.Autoit.ANK


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dainos
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %SYSDIR%\system32_.exe
   • %SYSDIR%_.exe
   • %MAPPED DRIVE%\%todas las carpetas%\%nombre de directorio%.exe
   • %disquetera%\system32_.exe



Elimina los siguientes ficheros:
   • C:\System Volume Information\%all files%
   • C:\System Volume Information



Crea los siguientes ficheros:

%SYSDIR%\autorun.ini
%disquetera%\Autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%




Intenta ejecutar los ficheros siguientes:

Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C AT /delete /yes


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\system32_.exe


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C cacls "C:\system volume information" /e /g "%nombre del usuario actual%":f

 Registro Aade las siguientes claves al registro:

[HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN]
   • "RunOnceComplete"=dword:0x00000001
   • "RunOnceHasShown"=dword:0x00000001

[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   • "HomePage"=dword:0x00000001

[HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   • "HomePage"=dword:0x00000001

[HKCU\Software\Microsoft\Internet Explorer\Main]
   • "RunOnceComplete"=dword:0x00000001
   • "RunOnceHasShown"=dword:0x00000001



Modifica las siguientes claves del registro:

[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\
   {0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
   Nuevo valor:
   • "URL"="http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?}"

[HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN]
   Nuevo valor:
   • "Default_Page_URL"="http://h1.ripway.com/google121/index.html"
   • "Default_Search_URL"="http://h1.ripway.com/google121/index.html"
   • "Search Page"="http://h1.ripway.com/google121/index.html"
   • "Start Page"="http://h1.ripway.com/google121/index.html"

[HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuevo valor:
   • "Start Page"="http://h1.ripway.com/google121/index.html"

[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\
   {0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
   Nuevo valor:
   • "URL"="http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?}"

 Informaciones diversas Accede a recursos de Internet:
   • http://recovery.myvnc.com/**********;
      http://h1.ripway.com/sdb070/**********;
      http://h1.ripway.com/sdb054/**********;
      http://h1.ripway.com/sdb055/**********;
      http://h1.ripway.com/sdb056/**********;
      http://h1.ripway.com/sdb057/**********;
      http://h1.ripway.com/sdb058/**********;
      http://h1.ripway.com/sdb059/**********;
      http://h1.ripway.com/sdb060/**********;
      http://h1.ripway.com/sdb061/**********;
      http://h1.ripway.com/sdb062/**********;
      http://h1.ripway.com/sdb063/**********;
      http://h1.ripway.com/sdb064/**********;
      http://h1.ripway.com/sdb065/**********;
      http://h1.ripway.com/sdb066/**********;
      http://h1.ripway.com/sdb067/**********;
      http://h1.ripway.com/sdb068/**********;
      http://h1.ripway.com/sdb069/**********;
      http://h1.ripway.com/sdb053/**********;
      http://h1.ripway.com/sdb071/**********;
      http://h1.ripway.com/sdb072/**********;
      http://h1.ripway.com/sdb073/**********;
      http://h1.ripway.com/sdb074/**********;
      http://h1.ripway.com/sdb075/**********;
      http://h1.ripway.com/sdb076/**********;
      http://h1.ripway.com/sdb077/**********;
      http://h1.ripway.com/sdb078/**********;
      http://h1.ripway.com/sdb079/**********;
      http://h1.ripway.com/sdb080/**********;
      http://h1.ripway.com/sdb081/**********;
      http://h1.ripway.com/sdb082/**********;
      http://h1.ripway.com/sdb083/**********;
      http://h1.ripway.com/sdb084/**********;
      http://h1.ripway.com/sdb085/**********;
      http://h1.ripway.com/sdb086/**********;
      http://h1.ripway.com/sdb087/**********;
      http://h1.ripway.com/sdb088/**********;
      http://h1.ripway.com/sdb089/**********;
      http://h1.ripway.com/sdb090/**********;
      http://h1.ripway.com/sdb091/**********;
      http://h1.ripway.com/sdb092/**********;
      http://h1.ripway.com/sdb093/**********;
      http://h1.ripway.com/sdb094/**********;
      http://h1.ripway.com/sdb095/**********;
      http://h1.ripway.com/sdb096/**********;
      http://h1.ripway.com/sdb097/**********;
      http://h1.ripway.com/sdb098/**********;
      http://h1.ripway.com/sdb099/**********;
      http://h1.ripway.com/sdb0100/**********


Objeto mutex:
Crea el siguiente objeto mutex:
   • test

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el miércoles 13 de abril de 2011
Descripción actualizada por Petre Galan el viernes 15 de abril de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.