¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/AutoIt.AF
Descubierto:16/07/2010
Tipo:Gusano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:222.092 Bytes
Suma de control MD5:d84a73bdde2ef478a5efd90af5c857e3
Versin del VDF:7.10.04.21
Versin del IVDF:7.10.09.108 - viernes 16 de julio de 2010

 General Mtodos de propagacin:
    Funcin de autoejecucin
    Messenger


Alias:
   •  F-Secure: Gen:Trojan.Heur.nmMfrzSTdNgib
   •  Bitdefender: Gen:Trojan.Heur.nmMfrzSTdNgib
     GData: Gen:Trojan.Heur.nmMfrzSTdNgib
     DrWeb: Win32.HLLW.Texmer.51


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dainos
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %WINDIR%\SSVICHOSST.exe
   • %disquetera%\SSVICHOSST.exe
   • %SYSDIR%\SSVICHOSST.exe



Crea los siguientes ficheros:

%SYSDIR%\autorun.ini
%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%




Intenta ejecutar los ficheros siguientes:

Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C AT /delete /yes


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\SSVICHOSST.exe

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Yahoo Messengger"="%SYSDIR%\SSVICHOSST.exe"



Aade las siguientes claves al registro:

[HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "AtTaskMaxHours"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • "shared"="\New Folder.exe"

 Messenger Se propaga por Messenger. Sus caractersticas estn descritas a continuacin:

 Yahoo Messenger


Mensaje
El mensaje enviado se ve como uno de los siguientes:

   • ang Web nay coi cung hay, vao coi thu di http://nhatquanglan1.0catch.com
     may, vao day coi co con nho nay ngon lam http://nhatquanglan1.0catch.com
     o day nghe bai nay di ban http://nhatquanglan1.0catch.com

 Informaciones diversas Accede a recursos de Internet:
   • http://nhatquanglan3.t3**********.com
   • http://nhatquanglan4.t3**********.com

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Wensin Lee el lunes 16 de abril de 2012
Descripción actualizada por Wensin Lee el lunes 16 de abril de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.