| W32/AutoIt.E |
|
| Nombre: |
W32/AutoIt.E Alias: Worm.Win32.AutoIt.e, Worm/Hakaglan.A.2, Worm.Hakaglan.B, Win32:Hakaglan [Wrm], Win32/Nuqel.A, Win32.HLLW.Cung, W32/Sohanat.BD.worm, W32/SillyFDC.G, W32/SillyFDC-G, Trojan.Agent.ahe, W32/Hakaglan.worm |
| Tipo: | Virus, Gusano |
| Tamaño: | 268,288 Bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.1, Registro de Virus al 19/03/2007. |
Descripción
W32/AutoIt.E, es un gusano que se difunde utilizando el script AutoIt, descarga y ejecuta archivo de nombre "F_DRIVE.exe", modifica las configuraciones de seguridad del computador atacado.
Cuando el gusano se ejecuta se copia a si mismo como:
Nota:
- %windows% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)
Además modifica la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Yahoo Messenger"="%system%\rvhost.exe"
Finalmente modifica las siguientes entradas para deshabilitar el Administrador de Tareas, Opciones de Carpeta y Editor de Registro de Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableRegistryTools"="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableTaskMgr"="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NofolderOptions"
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Schudele\"AtTaskMaxHours"
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú