Worm/Autorun.FY.1 - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Autorun.FY.1
Descubierto:	12/11/2007
Tipo:	Gusano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Bajo
Fichero estático:	Sí
Tamaño:	229.621 Bytes
Suma de control MD5:	ffeeecb3ab1bb248968a89c75671c792
Versión del IVDF:	7.00.00.200

General Método de propagación:
   • Unidades de red mapeadas

Alias:
   • Mcafee: W32/Autorun.worm.g virus
   • Kaspersky: Worm.Win32.AutoRun.ek
   • F-Secure: Worm.Win32.AutoRun.ek
   • Sophos: W32/Imaut-A
   • Grisoft: Worm/Autoit.HL
   • Eset: Win32/Autoit.BD worm
   • Bitdefender: Trojan.Autorun.ND

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Acceso al disquete
   • Suelta un fichero
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\smss.exe
   • %WINDIR%\killer.exe
   • %WINDIR%\Funny UST Scandal.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\lsass.exe
   • \smss.exe
   • \Funny UST Scandal.avi.exe

Crea el siguiente fichero:

– \autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [autorun]
     open = smss.exe
     shell\Open\Command=smss.exe
     shell\Open\Default=1
     shell\Explore\Command=smss.exe
     shell\Autoplay\Command=smss.exe

Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Runonce="%WINDIR%\smss.exe"

Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Shell="explorer.exe, killer.exe"

Añade las siguientes claves al registro:

– [HKCR\.vbs]
   • (Default)="exefile" (Hidden)

– [HKCR\.reg]
   • (Default)="exefile" (Hidden)

Modifica la siguiente clave del registro:

Varias opciones de configuración en Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valor anterior:
   • CheckedValue=dword:00000001
   Nuevo valor:
   • CheckedValue=dword:00000000

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Para una breve descripción vea el resumen aquí.

Descripción insertada por Alexander Neth el Mon, 14 Jul 2008 09:37 (GMT+1)
Descripción actualizada por Alexander Neth el Mon, 14 Jul 2008 10:00 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver