¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Nuqel.BE.7
Descubierto:23/11/2011
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Tamaño:721745 Bytes
Suma de control MD5:759ca80274db9600865f98dd29ea7d5a
Versión del VDF:7.11.18.17 - miércoles, 23 de noviembre de 2011
Versión del IVDF:7.11.18.17 - miércoles, 23 de noviembre de 2011

 General Método de propagación:
   • Función de autoejecución


Alias:
   •  Mcafee: W32/YahLover.worm.gen
   •  Kaspersky: Worm.Win32.AutoIt.dn
   •  Bitdefender: Win32.Worm.Sohanat.CK
   •  Grisoft: Dropper.Generic4.CAYF
   •  Eset: Win32/Autoit.EP.Gen worm
   •  GData: Win32.Worm.Sohanat.CK
   •  Norman: New unknown virus W32/Obfuscated.H!genr


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\gphone.exe
   • %WINDIR%\gphone.exe

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Yahoo Messengger"="c:\windows\\system32\\gphone.exe"



Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NofolderOptions"=dword:00000001

– HKLM\SYSTEM\ControlSet001\Services\Schedule
   • "AtTaskMaxHours"=dword:00000000

– HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings
   • "ProxyEnable"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
   • "Start Page"="http://rnd009.googlepages.com/google.html"



Modifica las siguientes claves del registro:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valor anterior:
   • "Shell"="Explorer.exe"
   Nuevo valor:
   • "Shell"="Explorer.exe gphone.exe"

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
   Valor anterior:
   • "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   • "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   • "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   Nuevo valor:
   • "Default_Page_URL"="http://rnd009.googlepages.com/google.html"
   • "Default_Search_URL"="http://rnd009.googlepages.com/google.html"
   • "Search Page"="http://rnd009.googlepages.com/google.html"

La página de inicio de Internet Explorer:

– HKCU\Software\Microsoft\Internet Explorer\Main
   Valor anterior:
   • "Start Page"="about:blank"
   Nuevo valor:
   • "Start Page"="http://rnd009.googlepages.com/google.html"

 Informaciones diversas Accede a recursos de Internet:
   • **********go.**********pages.com/setting.ini
   • **********cam.**********pages.com/setting.ini


Controlador de eventos:
Crea los siguientes controladores de eventos:
   • CloseServiceHandle
   • OpenSCManager
   • ReadProcessMemory
   • WriteProcessMemory
   • GetKeyState
   • GetAsyncKeyState
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • ShellExecute

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Wensin Lee el miércoles, 30 de mayo de 2012
Descripción actualizada por Wensin Lee el miércoles, 30 de mayo de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.