WORM_AUTORUN.EPA

Instalación

Agrega las carpetas siguientes:

• {Removable Drive}:\Folder
• {Removable Drive}:\Folder\SubFolder

Crea las siguientes copias de sí mismo en el sistema afectado:

• %Application Data%\afd.exe
• {Removable Drive}:\Folder\SubFolder\file.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

Infiltra los archivos siguientes:

• {Removable Drive}:\Folder\SubFolder\Desktop.ini
• {Removable Drive}:\autorun.inf

Agrega los procesos siguientes:

• netsh firewall add allowedprogram 1.exe 1 ENABLE

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Ctfmon32 = %Application Data%\afd.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Terminal Server\
Install\Software\Microsoft\
Windows\CurrentVersion\Run
Ctfmon32 = %Application Data%\afd.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplicataions\
List\%User Temp%
{malware file name}.exe = {malware directory}\{malware file name}.exe:*:Enabled:Ctfmon32