¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Tupym.A
Descubierto:10/03/2011
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:754.672 Bytes
Suma de control MD5:b9df337177cf691fc4a799e3bb15faaa
Versión del VDF:7.10.09.149
Versión del IVDF:7.11.04.163 - jueves, 10 de marzo de 2011

 General Métodos de propagación:
   • Función de autoejecución
   • Messenger


Alias:
   •  Kaspersky: Worm.Win32.AutoRun.fnc
   •  F-Secure: Worm:W32/Autorun.NG
   •  Bitdefender: Trojan.Generic.KDV.185767
   •  GData: Trojan.Generic.KDV.185767
   •  DrWeb: Win32.HLLW.Autoruner.25412


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\system3_.exe
   • %SYSDIR%\system3_.exe
   • %todas las carpetas compartidas%\%folder name%.exe
   • %disquetera%\system3_.exe



Elimina los siguientes ficheros:
   • C:\System Volume Information\MountPointManagerRemoteDatabase
   • C:\System Volume Information\tracking.log



Crea los siguientes ficheros:

%SYSDIR%\autorun.ini
%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C AT /delete /yes


– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\system3_.exe


– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C cacls "C:\system volume information" /e /g "%nombre del usuario actual%":f

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Yahoo Messengger"="%SYSDIR%\system3_.exe"



Añade las siguientes claves al registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "AtTaskMaxHours"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NofolderOptions"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • "shared"="\New Folder.exe"



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • "Shell"="Explorer.exe system3_.exe"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuevo valor:
   • "Start Page"="http://www.advgoogle.blogdpot.com"

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN]
   Nuevo valor:
   • "Default_Page_URL"="http://www.advgoogle.blogdpot.com"
   • "Default_Search_URL"="http://www.advgoogle.blogdpot.com"
   • "Search Page"="http://www.advgoogle.blogdpot.com"
   • "Start Page"="http://www.advgoogle.blogdpot.com"

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– Yahoo Messenger

La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infección volverá a iniciarse.

 Informaciones diversas Accede a recursos de Internet:
   • http://h1.ripway.com/asdb000/**********;
      http://h1.ripway.com/asdb002/**********;
      http://h1.ripway.com/asdb004/**********;
      http://h1.ripway.com/asdb006/**********;
      http://h1.ripway.com/asdb008/**********;
      http://h1.ripway.com/asdb010/**********;
      http://h1.ripway.com/asdb012/**********;
      http://h1.ripway.com/asdb014/**********;
      http://h1.ripway.com/asdb016/**********;
      http://h1.ripway.com/asdb018/**********;
      http://h1.ripway.com/asdb020/**********;
      http://h1.ripway.com/asdb022/**********;
      http://h1.ripway.com/asdb024/**********;
      http://h1.ripway.com/asdb026/**********;
      http://h1.ripway.com/asdb028/**********;
      http://h1.ripway.com/asdb030/**********;
      http://h1.ripway.com/asdb032/**********;
      http://h1.ripway.com/asdb034/**********;
      http://h1.ripway.com/asdb036/**********;
      http://h1.ripway.com/asdb038/**********;
      http://h1.ripway.com/asdb040/**********;
      http://h1.ripway.com/asdb042/**********;
      http://h1.ripway.com/asdb044/**********;
      http://h1.ripway.com/asdb046/**********;
      http://h1.ripway.com/asdb048/**********;
      http://h1.ripway.com/asdb050/**********;
      http://www.balu000.0catch.com/set/**********;
      http://www.balu001.0catch.com/set/**********;
      http://www.balu002.0catch.com/set/**********;
      http://www.balu003.0catch.com/set/**********;
      http://www.balu004.0catch.com/set/**********;
      http://www.balu005.0catch.com/set/**********;
      http://www.balu006.0catch.com/set/**********;
      http://www.balu007.0catch.com/set/**********;
      http://www.balu008.0catch.com/set/**********;
      http://www.balu009.0catch.com/set/**********;
      http://www.balu010.0catch.com/set/**********;
      http://www.balu011.0catch.com/set/**********;
      http://www.balu012.0catch.com/set/**********;
      http://www.balu013.0catch.com/set/**********;
      http://www.balu014.0catch.com/set/**********;
      http://www.balu015.0catch.com/set/**********;
      http://www.balu016.0catch.com/set/**********;
      http://www.balu017.0catch.com/set/**********;
      http://www.balu018.0catch.com/set/**********;
      http://www.balu019.0catch.com/set/**********;
      http://www.balu020.0catch.com/set/**********;
      http://www.balu021.0catch.com/set/**********;
      http://www.balu022.0catch.com/set/**********;
      http://www.balu023.0catch.com/set/**********;
      http://www.balu024.0catch.com/set/**********

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el viernes, 17 de junio de 2011
Descripción actualizada por Petre Galan el viernes, 17 de junio de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.