WORM_OTORUN.ASI

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Utiliza el icono predeterminado de la carpeta de Windows para engañar a los usuarios e incitarles a abrirla. Si hace doble clic en el archivo se ejecutará este malware.

Detalles de entrada

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %System%\svchoct.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Agrega los siguientes archivos o componentes de archivos maliciosos:

• %User Temp%\E_N4\eAPI.fne
• %User Temp%\E_N4\eImgConverter.fne
• %User Temp%\E_N4\krnln.fnr
• %User Temp%\E_N4\PBShell.fne
• %User Temp%\E_N4\shell.fne

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Crea las carpetas siguientes:

• %User Temp%\E_N4

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Utiliza el icono predeterminado de la carpeta de Windows para engañar a los usuarios e incitarles a abrirla. Si hace doble clic en el archivo se ejecutará este malware.

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
KXOSUK = "%System%\svchoct.exe"

Propagación

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

• {space}.exe