WORM_DUNIHI.AUSHN
VBS/BackDoor-FAA (McAfee)
Windows
Tipo de malware
Worm
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Permite su ejecución automática cada vez que se inicia el sistema al crear copias de sí mismo dentro de la carpeta de inicio común de Windows.
Infiltra copias de sí mismo en todas las unidades extraíbles conectadas a un sistema afectado.
Detalles técnicos
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %User Temp%\system.wSf
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Técnica de inicio automático
Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
system = wscript.exe //B "%User Temp%\system.wSf"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
system = wscript.exe //B "%User Temp%\system.wSf"
Permite su ejecución automática cada vez que se inicia el sistema al crear las siguientes copias de sí mismo dentro de la carpeta de inicio común de Windows:
- %User Startup%\system.wSf
(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).
)Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SOFTWARE\system
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\system
{Default} = {true or false} - {date}
Propagación
Infiltra copias de sí mismo en todas las unidades extraíbles conectadas a un sistema afectado.