¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Tupym.A
Descubierto:10/03/2011
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:754.672 Bytes
Suma de control MD5:b9df337177cf691fc4a799e3bb15faaa
Versin del VDF:7.10.09.149
Versin del IVDF:7.11.04.163 - jueves 10 de marzo de 2011

 General Mtodos de propagacin:
    Funcin de autoejecucin
    Messenger


Alias:
   •  Kaspersky: Worm.Win32.AutoRun.fnc
   •  F-Secure: Worm:W32/Autorun.NG
   •  Bitdefender: Trojan.Generic.KDV.185767
     GData: Trojan.Generic.KDV.185767
     DrWeb: Win32.HLLW.Autoruner.25412


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dainos
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %WINDIR%\system3_.exe
   • %SYSDIR%\system3_.exe
   • %todas las carpetas compartidas%\%folder name%.exe
   • %disquetera%\system3_.exe



Elimina los siguientes ficheros:
   • C:\System Volume Information\MountPointManagerRemoteDatabase
   • C:\System Volume Information\tracking.log



Crea los siguientes ficheros:

%SYSDIR%\autorun.ini
%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%




Intenta ejecutar los ficheros siguientes:

Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C AT /delete /yes


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\system3_.exe


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C cacls "C:\system volume information" /e /g "%nombre del usuario actual%":f

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Yahoo Messengger"="%SYSDIR%\system3_.exe"



Aade las siguientes claves al registro:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001

[HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "AtTaskMaxHours"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NofolderOptions"=dword:0x00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • "shared"="\New Folder.exe"



Modifica las siguientes claves del registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • "Shell"="Explorer.exe system3_.exe"

[HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuevo valor:
   • "Start Page"="http://www.advgoogle.blogdpot.com"

[HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN]
   Nuevo valor:
   • "Default_Page_URL"="http://www.advgoogle.blogdpot.com"
   • "Default_Search_URL"="http://www.advgoogle.blogdpot.com"
   • "Search Page"="http://www.advgoogle.blogdpot.com"
   • "Start Page"="http://www.advgoogle.blogdpot.com"

 Messenger Se propaga por Messenger. Sus caractersticas estn descritas a continuacin:

 Yahoo Messenger

La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infeccin volver a iniciarse.

 Informaciones diversas Accede a recursos de Internet:
   • http://h1.ripway.com/asdb000/**********;
      http://h1.ripway.com/asdb002/**********;
      http://h1.ripway.com/asdb004/**********;
      http://h1.ripway.com/asdb006/**********;
      http://h1.ripway.com/asdb008/**********;
      http://h1.ripway.com/asdb010/**********;
      http://h1.ripway.com/asdb012/**********;
      http://h1.ripway.com/asdb014/**********;
      http://h1.ripway.com/asdb016/**********;
      http://h1.ripway.com/asdb018/**********;
      http://h1.ripway.com/asdb020/**********;
      http://h1.ripway.com/asdb022/**********;
      http://h1.ripway.com/asdb024/**********;
      http://h1.ripway.com/asdb026/**********;
      http://h1.ripway.com/asdb028/**********;
      http://h1.ripway.com/asdb030/**********;
      http://h1.ripway.com/asdb032/**********;
      http://h1.ripway.com/asdb034/**********;
      http://h1.ripway.com/asdb036/**********;
      http://h1.ripway.com/asdb038/**********;
      http://h1.ripway.com/asdb040/**********;
      http://h1.ripway.com/asdb042/**********;
      http://h1.ripway.com/asdb044/**********;
      http://h1.ripway.com/asdb046/**********;
      http://h1.ripway.com/asdb048/**********;
      http://h1.ripway.com/asdb050/**********;
      http://www.balu000.0catch.com/set/**********;
      http://www.balu001.0catch.com/set/**********;
      http://www.balu002.0catch.com/set/**********;
      http://www.balu003.0catch.com/set/**********;
      http://www.balu004.0catch.com/set/**********;
      http://www.balu005.0catch.com/set/**********;
      http://www.balu006.0catch.com/set/**********;
      http://www.balu007.0catch.com/set/**********;
      http://www.balu008.0catch.com/set/**********;
      http://www.balu009.0catch.com/set/**********;
      http://www.balu010.0catch.com/set/**********;
      http://www.balu011.0catch.com/set/**********;
      http://www.balu012.0catch.com/set/**********;
      http://www.balu013.0catch.com/set/**********;
      http://www.balu014.0catch.com/set/**********;
      http://www.balu015.0catch.com/set/**********;
      http://www.balu016.0catch.com/set/**********;
      http://www.balu017.0catch.com/set/**********;
      http://www.balu018.0catch.com/set/**********;
      http://www.balu019.0catch.com/set/**********;
      http://www.balu020.0catch.com/set/**********;
      http://www.balu021.0catch.com/set/**********;
      http://www.balu022.0catch.com/set/**********;
      http://www.balu023.0catch.com/set/**********;
      http://www.balu024.0catch.com/set/**********

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el viernes 17 de junio de 2011
Descripción actualizada por Petre Galan el viernes 17 de junio de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.