Virauto



Gusano que se propaga a través de los dispositivos del sistema y de archivos ZIP. Tiene funcionalidad de puerta trasera y modifica el fichero Host para evitar la actualización de los antivirus.


Difusión: Baja Fecha de Alta:18-06-2009
Última Actualización:18-06-2009

Daño: Bajo

Dispersibilidad: Bajo

Nombre completo: [email protected]+DE

Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 y Vista
Mecanismo principal de difusión: [SMB+DE] - Se propaga a través de dispositivos de red y extraíbles.

Alias:Worm:Win32/Virauto.A (Microsoft)


Método de Infección/Efectos


Cuando se ejecuta copia los siguientes ficheros al equipo infectado:

* %ProgramFiles%\Windows NT\explorer.exe: es una copia de sí mismo.
* %ProgramFiles%\Windows NT\cmd32.exe: es un componente del gusano.
* %ProgramFiles%\Windows NT\antivir.dll: es un fichero DLL que utiliza para monitorizar las sesiones del programa de mensajería instantanea MSN Messenger. Es detectado como TrojanSpy:Win32/Delf (Microsoft).

Nota: %ProgramFiles% es una variable que hace referencia al directorio de instalación por defecto de aplicaciones en sistemas Windows.
Por defecto es C:\Archivos de Programa\ (Windows98/Me/2000/XP). También puede ser C:\Program Files (Windows NT) y en instalaciones de Windows en inglés.

Si el sistema operativo del equipo infectado es Windows Vista, el gusano también copia los siguientes ficheros:

* C:\Program Files (x86)\Windows NT\explorer.exe: una copia de sí mismo.
* C:\Program Files (x86)\Windows NT\cmd32.exe: un componente del gusano.

También crea el siguiente fichero ZIP que contienen copias del gusano:

* %Temp%\{AAAAMMDD}({Numero}).zip

Nota: {AAAAMMDD} es el año, mes y día actual; y {Numero} es un número aleatorio.

Nota: %Temp% es una variable que representa la carpeta temporal de Windows.
Por defecto es C:\Windows\temp (Windows 95/98/Me/XP), C:\Winnt\temp (Windows NT/2000) o C:\documents and settings\{nombre de usuario}\local settings\temp (Windows XP).

Modifica a continuación las siguientes entradas del registro de Windows para ejecutarse de nuevo cada vez que un fichero ejecutable sea ejecutado:

Código:
Clave: HKLM\SOFTWARE\Classes\exefile\shell

Valor: "@" = "syntax0"

Clave: HKLM\SOFTWARE\Classes\exefile\shell\syntax0\command

Valor: "@" = "%ProgramFiles%\Windows NT\explorer.exe "%1" %*"
Además crea los siguientes mutex:

* MessegnerPlusMutexObject2
* sh0w-m3-wh4t-y0u-g0t-l1l-m4m4-{numero}

Nota: Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas, aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del gusano en memoria.

El gusano tiene funcionalidad de puerta trasera, lo que permite a un atacante remoto realizar las siguientes acciones en el sistema:

* Obtener direcciones de correo.
* Realizar ataques de denegación de servicio distribuido (DDOS).
* Ejecutar comandos de mIRC.
* Distribuir copias a través de programas de P2P como BitComet, BitTorrent, Azureus, BitSpir y UTorrent.
* Descargar y ejecutar otros archivos maliciosos.

El gusano trata de conectarse a los siguientes dominios para descargar otros archivos:

* www.max-gate.com
* tehaqa.hopto.org

Modifica el fichero "Hosts" para impedir el acceso a las siguientes direcciones de Internet que proporcionan actualizaciones de firmas de antivirus:

* download0.avast.com
* download1.avast.com
* download2.avast.com
* download3.avast.com
* download4.avast.com
* download5.avast.com
* download6.avast.com
* download7.avast.com
* download72.avast.com
* download73.avast.com
* download74.avast.com
* download75.avast.com
* download76.avast.com
* download77.avast.com
* ...
* update.ikaka.com

Nota: El fichero "Hosts" normalmente se encuentra ubicado en "%System%\drivers\etc\".

El gusano se propaga a través de los dispositivos que encuentra en el equipo infectado. En cada uno de estos dispositivos instala los siguientes ficheros:

* kkk.exe: copia del gusano
* autorun.inf

El fichero autorun.inf se ejecuta automáticamente cada vez que se conecta el dispositivo en una unidad, su cometido es ejecutar la copia del gusano. De este modo si se conecta el dispositivo infectado en un ordenador limpio, automáticamente la máquina se quedará infectada.

El gusano también buscar archivos ZIP en el sistema. Si encuentra alguno, añade una copia del gusano al archivo con el siguiente formato:

* {cadena de caracteres}.gif{espacios en blanco}.scr

FUENTE: Alerta-Antivirus.es: Detalles del virus Virauto