¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/AutoIt.AF
Descubierto:16/07/2010
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:222.092 Bytes
Suma de control MD5:d84a73bdde2ef478a5efd90af5c857e3
Versión del VDF:7.10.04.21
Versión del IVDF:7.10.09.108 - viernes, 16 de julio de 2010

 General Métodos de propagación:
   • Función de autoejecución
   • Messenger


Alias:
   •  F-Secure: Gen:Trojan.Heur.nmMfrzSTdNgib
   •  Bitdefender: Gen:Trojan.Heur.nmMfrzSTdNgib
   •  GData: Gen:Trojan.Heur.nmMfrzSTdNgib
   •  DrWeb: Win32.HLLW.Texmer.51


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\SSVICHOSST.exe
   • %disquetera%\SSVICHOSST.exe
   • %SYSDIR%\SSVICHOSST.exe



Crea los siguientes ficheros:

%SYSDIR%\autorun.ini
%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C AT /delete /yes


– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\SSVICHOSST.exe

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Yahoo Messengger"="%SYSDIR%\SSVICHOSST.exe"



Añade las siguientes claves al registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "AtTaskMaxHours"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • "shared"="\New Folder.exe"

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– Yahoo Messenger


Mensaje
El mensaje enviado se ve como uno de los siguientes:

   • ang Web nay coi cung hay, vao coi thu di http://nhatquanglan1.0catch.com
     may, vao day coi co con nho nay ngon lam http://nhatquanglan1.0catch.com
     o day nghe bai nay di ban http://nhatquanglan1.0catch.com

 Informaciones diversas Accede a recursos de Internet:
   • http://nhatquanglan3.t3**********.com
   • http://nhatquanglan4.t3**********.com

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Wensin Lee el lunes, 16 de abril de 2012
Descripción actualizada por Wensin Lee el lunes, 16 de abril de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.