| W32/Autorun.bb |
|
| Nombre: | W32/Autorun.bb Alias: Win32/Delf.NFG, Virus.Win32.AutoRun.bb, W32/Frawrm-A, W32.Vediance, Win32/Vediance |
| Tipo: | Gusano |
| Tamaño: | 57,376 bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.1 y 6.2 al 21/07/2007 |
Descripción:
W32/Autorun.bb, es un gusano que se difunde a través de unidades removibles y carpetas compartidas en la red.
Cuando el gusano se ejecuta se copia a si mismo con todos sus componentes dentro de:
%system%\taskmger.com
%windows%\recycler\systems.com
Nota:
- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32).
Además crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"userd"="%windows%\recycler\systems.com"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"="Explorer.exe taskmger.exe"
El gusano cambia las siguientes configuraciones para deshabilitar el "Administrador de Tareas", "Editor de Registro" y "Opciones de Carpeta"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableTaskMgr"="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableRegistryTools"="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NofolderOptions"="1"
Finalmente el gusano intenta copiarse en unidades removibles que encuentre en el computador atacado, utiliza los siguientes archivos
[unidad]:\recycler\systems.com
[unidad]:\autorun.inf
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú