¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:WORM/Autorun.chwz
Descubierto:29/04/2011
Tipo:Gusano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Bajo
Potencial daino:Medio-bajo
Tamao:90.112 Bytes
Suma de control MD5:94A72F8B07B15A0CE37302D6B1205856
Versin del VDF:7.11.07.83 - viernes 29 de abril de 2011
Versin del IVDF:7.11.07.83 - viernes 29 de abril de 2011

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Mcafee: W32/YahLover.worm
   •  Kaspersky: Worm.Win32.AutoRun.chwz
   •  TrendMicro: WORM_AUTORUN.CON
     Microsoft: VirTool:Win32/CeeInject.gen!ED
   •  Panda: W32/Ircbot.DAC.worm


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efectos secundarios:
   • Suelta un fichero
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %APPDATA%\windows32.exe

 Registro Aade uno de los siguientes valores a cada clave del registro, para ejecutar los procesos al reiniciar el sistema:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"



Aade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"



Aade las siguientes claves al registro:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "Start Page"="http://redirecturls.**********"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]
   • "MicrosoftWindows"="%APPDATA%\windows32.exe"



Modifica la siguiente clave del registro:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Nuevo valor:
   • "ParseAutoexec"="1"

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Andrei Ilie el miércoles 13 de julio de 2011
Descripción actualizada por Andrei Ilie el lunes 18 de julio de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.