Worm/Winko.I - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Winko.I
Descubierto:	22/10/2007
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio-bajo
Potencial dañino:	Medio
Fichero estático:	No
Tamaño:	~17.000 Bytes
Versión del IVDF:	7.00.00.117

General Método de propagación:
   • Unidades de red mapeadas

Alias:
   • Kaspersky: Worm.Win32.AutoRun.cxp
   • F-Secure: Worm:W32/AutoRun.CX
   • Grisoft: Downloader.Small.BYN
   • Eset: Win32/TrojanDownloader.Flux.AC
   • Bitdefender: Win32.Worm.Winko.I

Detección similar:
   • Worm/Winko.I.%número%

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga ficheros
   • Suelta un fichero dañino
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\%varios números aleatorios entre 0 - 9%.EXE
   • \auto.exe

Elimina la copia inicial del virus.

Crea los siguientes ficheros:

– \autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

– %SYSDIR%\C%varios números aleatorios entre 0 - 9%.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Autorun.CA

Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://33.xingaide8.cn/**********/update.txt
This file may contain further download locations (es)

Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %serie de caracteres aleatorios%]
   • Type = 10
   • Start = 2
   • ErrorControl = 1
   • ImagePath = %SYSDIR%\%varios números aleatorios entre 0 - 9%.EXE -k
   • DisplayName = %serie de caracteres aleatorios%
   • ObjectName = LocalSystem
   • Description = C%varios números aleatorios entre 0 - 9%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %serie de caracteres aleatorios%\Security]
   • Security = %valores hex%

Elimina la siguiente clave del registro, incluyendo todos sus valores y subclaves:
   • [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]

Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuevo valor:
   • CheckedValue = 0

– [HKLM\SOFTWARE\Microsoft\Windows NT]
   Nuevo valor:
   • ReportBootOk= 1

– [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
   Nuevo valor:
   • DoReport = 0
   • ShowUI = 0

Inyectar el código viral en otros procesos – Inyecta el siguiente fichero en un proceso: %SYSDIR%\C%varios números aleatorios entre 0 - 9%.dll

    Los siguientes procesos:
   • explorer.exe
   • winlogon.exe
   • %todos los procesos activos%

   Al lograr la operación, el programa malicioso cesa su ejecución, mientras que su componente inyectado queda activo.

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• Upack

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Mon, 16 Jun 2008 11:43 (GMT+1)
Descripción actualizada por Andrei Gherman el Thu, 19 Jun 2008 07:59 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver