Nombre completo: Worm.W32/[email protected]
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [US] - Unidades del sistema (locales, mapeadas, extraíbles).
Tamaño (bytes): 135286
Alias:W32.SillyFDC.BCJ (Symantec), Worm.Win32.AutoRun.akwu (Kaspersky), Win32/Autorun.worm.61558 (AhnLab)
Detalles

Método de Infección/Efectos

Cuando se ejecuta este troyano por primera vez se crean los siguientes ficheros:
%SystemDrive%\usb.exe
%Windir%\uninstall.exe

Nota: %SystemDrive% es una variable que hace referencia a la unidad en la que Windows está instalado.
Por defecto es C:.

Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).

A continuación el gusano crea el siguiente fichero:
%Temp%\~DFC0F9.tmp

Nota: %Temp% es una variable que representa la carpeta temporal de Windows.
Por defecto es C:\Windows\temp (Windows 95/98/Me/XP), C:\Winnt\temp (Windows NT/2000) o C:\documents and settings\{nombre de usuario}\local settings\temp (Windows XP).

A continuación crea las siguientes entradas en el registro de windows:
Clave:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\

Valor:"WinSecurity" = "%Windir%\uninstall.exe"
Clave:HKEY_CURRENT_USER\Software\MSNStealer\

Valor:"WinSecurity" = "1"
Clave:HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\30\Shell\

Valor:"Address" = "4294967295"

Valor:"Buttons" = "4294967295"

Valor:"HotKey" = "0"

Valor:"Links" = "4294967295"

Valor:"FFlags" = "1"

Valor:"MaxPos1280x1024(1).x" = "4294967295"

Valor:"MaxPos1280x1024(1).y" = "4294967295"

Valor:"MinPos1280x1024(1).x" = "4294967295"

Valor:"MinPos1280x1024(1).y" = "4294967295"

Valor:"Rev" = "1"

Valor:"ShowCmd" = "1"

Valor:"WFlags" = "0"

Valor:"WinPos1280x1024(1).bottom" = "776"

Valor:"WinPos1280x1024(1).left" = "176"

Valor:"WinPos1280x1024(1).right" = "976"

Valor:"WinPos1280x1024(1).top" = "176"

Una vez instalado, accede a las siguientes URLs:
http://scofield.net63.net/dump.php?computer=computername&data=
http://scofield.net63.net/index.jpg

Nota: En el momento de escribir este informe, dichas URLs ya no estan activas.

A continuación, el gusano se copia a sí mismo en todas las unidades de red y extraíbles como:
%Drive%\usb.exe

Nota: %Drive% es una variable que hace referencia a la unidad física o extraíble en la que se crea el fichero (H:/ , S:/, etc).

Posteriormente crea los siguientes ficheros para que el anterior ejecutable sea lanzado cada vez que la unidad es accedida:
%Drive%\autorun.inf
%SystemDrive%\autorun.inf

Método de Propagación

Los troyanos no disponen de una rutina propia de propagación. Suelen llegar a la máquina infectada por correo, descargados a través de redes P2P, descargados inadvertidamente mientras el usuario visita paginas maliciosas, etc.

Fuente