WORM_DORKBOT

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos. Puede haberlo infiltrado otro malware. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Además, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.

Detalles de entrada

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.

Puede haberlo infiltrado otro malware.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = "%User Profile%\Application Data\{malware file name}.exe"

Propagación

Crea las carpetas siguientes en todas las unidades extraíbles:

• {drive letter}:\RECYCLER

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

• {drive letter}:\RECYCLER\{random characters}.exe

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Envía mensajes que contienen enlaces a sitios con copias remotas de sí mismo mediante las siguientes aplicaciones de mensajería instantánea:

• Windows Live Communicator
• MSN Messenger
• Pidgin
• Xchat
• mIRC

Capacidades de rootkit

Además, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.