Nombre completo: Trojan.W32/Vundo.AX
Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 93184
Alias:Vundo.gen.ax!32839f96a19c (McAfee), P2P-Worm.Nugg (PC Tools)

Método de Infección/Efectos

Una vez se ejecuta crea los siguientes ficheros:
%UserProfile%\application data\55274-640-2001945-23725517c.manifest
%UserProfile%\application data\55274-640-2001945-23725517o.manifest
%UserProfile%\application data\55274-640-2001945-23725517p.manifest
%UserProfile%\application data\55274-640-2001945-23725517s.manifest
%Windir%\system32\fsusd32.dll

Nota: %UserProfile% es una variable que hace referencia al directorio del perfil del usuario actual.
Por defecto es C:\Documents and Settings\{- usuario_actual -} (Windows NT/2000/XP).

Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).

Crea la siguiente entrada en el registro:
Clave: HKLM\Software\Microsoft\Windows nt\
currentversion\winlogon\notify\74630177517\

Valor: "dllname" = c:\windows\system32\fsusd32.dll

Valor: "startup" = "eventstartup"

Modifica las siguientes entradas del registro:
Clave: HKLM\Software\Microsoft\Windows nt\currentversion\Windows\

Valor: "appinit_dlls" = "c:\windows\system32\fsusd32.dll"
Clave: HKLM\Software\Microsoft\Windows\currentversion\explorer\

Valor: "74630177" = "-572635536"

Trata de acceder a las direcciónes:
URL: http://[eliminado]

URL: http://[eliminado]

Fuente