DR/Autoit.I.1 - Dropper

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	DR/Autoit.I.1
Descubierto:	21/09/2007
Tipo:	Dropper
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	215.456 Bytes
Suma de control MD5:	69718103c21fd0e647d47c364758f215
Versión del IVDF:	6.39.01.161

General Método de propagación:
   • Unidades de red mapeadas

Alias:
   • Kaspersky: Worm.Win32.AutoIt.i
   • F-Secure: Worm.Win32.AutoIt.i
   • Sophos: W32/SillyFDC-AP
   • Eset: Win32/Autoit.AZ worm
   • Bitdefender: Win32.Worm.Autoit.P

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga ficheros
   • Suelta un fichero
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\msmsgs.exe

– %WINDIR%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [autorun]
     open=system.exe
     shellexecute=system.exe
     shell\Explore\command=system.exe
     shell\Open\command=system.exe
     shell=Explore

Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://ppt.th.gs/**********/bad1.exe
El fichero está guardado en el disco duro en: %SYSDIR%\bad1.exe Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://ppt.th.gs/**********/bad2.exe
El fichero está guardado en el disco duro en: %SYSDIR%\bad2.exe Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://ppt.th.gs/**********/bad3.exe
El fichero está guardado en el disco duro en: %SYSDIR%\bad3.exe Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • SYS1="%SYSDIR%\system.exe"
   • SYS2="%SYSDIR%\bad1.exe"
   • SYS3="%SYSDIR%\bad2.exe"
   • SYS4="%SYSDIR%\bad3.exe"
   • Msmsgs="%SYSDIR%\Msmsgs.exe"

Modifica las siguientes claves del registro:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Nuevo valor:
   • SuperHidden=dword:00000000
   • ShowSuperHidden=dword:00000000
   • HideFileExt=dword:00000001
   • Hidden=dword:00000002

Desactivar Regedit y el Administrador de Tareas:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   Nuevo valor:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Varias opciones de configuración en Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Nuevo valor:
   • NoDriveTypeAutoRun=dword:0000005b
   • NoFind=dword:00000001
   • NoFolderOptions=dword:00000001

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Para una breve descripción vea el resumen aquí.

Descripción insertada por Alexander Neth el Fri, 05 Sep 2008 09:44 (GMT+1)
Descripción actualizada por Alexander Neth el Fri, 05 Sep 2008 09:56 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver