• Registrarse
  • Iniciar sesión


  • Resultados 1 al 1 de 1

    Alerta: Autorun.gas

    Nombre completo: Worm.W32/Autorun.gas Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) ...

          
    1. #1
      Usuario Avatar de JuanD:
      Registrado
      jul 2008
      Ubicación
      Venezuela
      Mensajes
      1.962

      Malware Alerta: Autorun.gas

      Nombre completo: Worm.W32/Autorun.gas
      Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
      Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
      Tamaño (bytes): 37382
      Alias:Worm/Autorun.gas.1 (AVIRA), Worm.Win32.AutoRun.gas (Kaspersky), Worm.Win32.AutoRun.gas (F-Secure), Win32/Injector.QH (ESET), Trojan.VB.NZJ (Bit Defender), Trojan:Win32/VB.QQ (Microsoft), Win32:AutoRun-AXD (ALWIL), TROJ_AGENT.GRZZ (Trend Micro)
      Detalles

      Método de Infección/Efectos

      Cuando se ejecuta por primera vez, se copia a sí mismo a la siguiente ruta:
      C:\NEXT\FILES\NEXT.exe

      ...y crea los siguientes ficheros y directorios:
      c:\NEXT\FILES
      c:\NEXT\FILES\Desktop.ini

      Intenta descargar ficheros del siguiente servidor remoto:
      http://redex.freehostia.com/*****

      El fichero descargado se guarda localmente bajo:
      %UserProfile%\Update.exe

      Nota: %UserProfile% es una variable que hace referencia al directorio del perfil del usuario actual.
      Por defecto es C:\Documents and Settings\{- usuario_actual -} (Windows NT/2000/XP).

      El gusano crea el siguiente Mutex para evitar ser ejecutado más de una vez:
      NxT_x_1

      Crea las siguientes entradas en el registro de Windows para que el gusano sea ejecutado en cada reinicio del sistema:
      Clave:HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-33WE-AAX5-24KC2A3453431}

      Valor:"StubPath"="c:\NEXT\FILES\NEXT.exe"

      El gusano se inyecta a si mismo en el siguiente proceso:
      explorer.exe

      El gusano se conecta con el sitio:
      URL:NEXT.helldark.biz

      Puerto:5900

      Método de Propagación

      Puede llegar a la máquina infectada por correo, descargado a través de redes P2P, descargado inadvertidamente mientras el usuario visita paginas maliciosas, etc.

      Otros Detalles

      Este malware fue escrito en Visual Basic.

      Puede ser ejecutado en Windows 95,Windows 98,Windows 98 SE,Windows NT,Windows ME,Windows 2000,Windows XP y Windows 2003.
      Última edición por JuanD: fecha: 08/07/09 a las 21:44:42