TR/Autorun.S - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/Autorun.S
Descubierto:	21/08/2007
Tipo:	Troyano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio-bajo
Potencial de propagación:	Medio-bajo
Potencial dañino:	Medio-alto
Fichero estático:	Sí
Tamaño:	94.208 Bytes
Suma de control MD5:	75691359d5c9e0e7e09ce6cd1802bc31
Versión del IVDF:	6.39.01.26

General Método de propagación:
   • Unidades de red mapeadas

Alias:
   • Mcafee: W32/Autorun.worm.i.gen
   • Kaspersky: Worm.Win32.AutoRun.wj
   • F-Secure: Worm.Win32.AutoRun.wj
   • Sophos: W32/SillyFDC-BJ
   • Eset: Win32/AutoRun.LG
   • Bitdefender: Trojan.Autorun.VN

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta ficheros
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

Inmediatamente después de su ejecución, muestra la siguiente información:

Inmediatamente después de ejecutarse, inicia una aplicación de Windows que muestra la siguiente ventana:

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • C:\Documents and Settings\LocalService\services.exe
   • %SYSDIR%\drivers\smss.exe
   • %WINDIR%\winlogon.exe
   • :\RECYCLER.exe
   • :\Gwen(ISU) Scandal.exe
   • :\Sex Video.exe
   • :\zeluR maeTCP.exe
   • %todas las carpetas%\%nombre del directorio actual%.exe

Renombra los siguientes ficheros:

    • %SYSDIR%\hal.dll en FuckUHal
    • %WINDIR%\explorer.exe en FuckU
    • %SYSDIR%\dllcache en FuckU
    • %SYSDIR%\shell32.dll en FuckU1
    • %SYSDIR%\ntoskrnl.dll en FuckU2

Crea los siguientes ficheros:

– :\Autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • %PROGRAM FILES%\Windows Media Player\wmplayer.exe

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • winlogon = %WINDIR%\winlogon.exe

Modifica la siguiente clave del registro:

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • HideFileExt = 1
   • SuperHidden = 1
   • ShowSuperHidden = 0

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Wed, 06 Aug 2008 13:44 (GMT+1)
Descripción actualizada por Andrei Gherman el Wed, 06 Aug 2008 14:23 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver