Autorun.FN

Gusano para la plataforma Windows que intenta copiarse a sí mismo a todas las unidades extraíbles conectadas al sistema, posteriormente se conecta con sitios remotos para descargarse nuevas muestras de malware.

Difusión: Baja Fecha de Alta:05-06-2009
Última Actualización:05-06-2009

Daño: Bajo

Dispersibilidad: Alto

Nombre completo: [email protected]

Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [UL] - Se propaga a unidades locales del sistema.
Alias:W32/Autorun.worm.fn (McAfee)


MÉTODO DE INFECCIÓN Y EFECTOS


Cuando se ejecuta el gusano por primera vez, se crean las siguientes claves en el registro de Windows:

Código:
Clave:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B45FF030-4447-11D2-85DE-00C04FA35C89}

Clave:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{8ECC055D-047F-11D1-A537-0000F8753ED1}\0026

Clave:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_BNDMSS

Clave:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BNDMSS

Clave:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E97E-E325-11CE-BFC1-08002BE10318}\v

Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{8ECC055D-047F-11D1-A537-0000F8753ED1}\0026

Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BNDMSS
Los siguientes ficheros son creados en todas las unidades extraíbles conectadas al sistema:

* %Unidad%\Autorun.inf
* %Unidad%\dmgr.exe

Nota: %Unidad% es una variable que hace referencia a la unidad extraíble en la que se crea el fichero (H:/ , S:/, etc).

También se crean los siguientes ficheros:

* %Root%\RECYCLER\[ID]\winmap32.exe
* %System%\bndmss.exe
* %System%\winmap32.exe

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Nota: %Root% es una variable que hace referencia a la unidad en la que Windows está instalado.
Por defecto es C:.

------------------------------------------------------------------------------------------------------

El gusano se conecta con los siguientes dominios:

* mix.na[XXX].info
* mix.c[XXX].biz
* mix.cha[XXX].com
* zon[XXX].info
* bnew.h[XXX].com
* newss.al[XXX].info

El gusano intenta copiarse a sí mismo a todas las unidades extraíbles conectadas al sistema y crea un fichero autorun.inf que apunta a la ruta del gusano, de manera que éste es ejecutado cada vez que la unidad es montada.

Los síntomas para detectar que nuestro sistema esta infectado con este gusano son:

* Presencia de los ficheros anteriomente mencionados
* Presencia de las entradas del registro anteriormente mencionadas
* Presencia de conexiones de red desconocidas

Fuente: Alerta-Antivirus.es: Detalles del virus Autorun.FN

El metodo inicial de desinfección mas adecuado para estos parásitos es este:

Eliminacion de Worms Autorun, Recycler, Restore, etc, ...


El procedimiento entero ha de aplicarse primero al equipo y despues a todos los pendrives y demás dispositivos que se conecten al mismo, No fuercen el modo seguro desde MSCONFIG, si esta estropeado o no carga se reparara en pasos posteriores.

Suerte a todos