WORM_FLYSTUD.AC

Este malware infiltra copias de sí mismo en todas las unidades extraíbles. Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Instalación

Agrega las carpetas siguientes:

• %System%\{random name1}
• %System%\{random name2}
• %System%\{random name3}
• %System%\{random name4}
• %User Temp%\E_N4

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Crea las siguientes copias de sí mismo en el sistema afectado:

• %System%\{random name1}\{random filename}.EXE

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Técnica de inicio automático

Infiltra el siguiente acceso directo dirigido a su copia en la carpeta de inicio del usuario para que se ejecute automáticamente cada vez que arranque el sistema:

• %User Startup%\{Random file name}.lnk

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

Otras modificaciones del sistema

Elimina las siguientes claves de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\TypedURLs

Propagación

Este malware infiltra copias de sí mismo en todas las unidades extraíbles.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Rutina de infiltración

Infiltra los archivos siguientes:

• %System%\{random name2}\cnvpe.fne
• %System%\{random name2}\dp1.fne
• %System%\{random name2}\eAPI.fne
• %System%\{random name2}\eCompress.fne
• %System%\{random name2}\HtmlView.fne
• %System%\{random name2}\internet.fne
• %System%\{random name2}\krnln.fnr
• %System%\{random name2}\RegEx.fnr
• %System%\{random name2}\shell.fne
• %System%\{random name2}\spec.fne
• %User Profile%\Start Menu\Programs\Startup\{random filename}.lnk
• %User Temp%\E_N4\cnvpe.fne
• %User Temp%\E_N4\dp1.fne
• %User Temp%\E_N4\eAPI.fne
• %User Temp%\E_N4\eCompress.fne
• %User Temp%\E_N4\HtmlView.fne
• %User Temp%\E_N4\internet.fne
• %User Temp%\E_N4\krnln.fnr
• %User Temp%\E_N4\RegEx.fnr
• %User Temp%\E_N4\shell.fne
• %User Temp%\E_N4\spec.fne

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Otros detalles

Según el análisis de los códigos, tiene las siguientes capacidades:

• It also searches for folders in removable drives then drops copies of itself as {Folder name}.exe. It then sets the attribute of the original folder to Hidden to trick the users into thinking that the dropped copy is the legitimate folder.