Author: Nikko Tamana   

 

Virus:Win32/Virut.gen!M (Microsoft), W32.Virut.CF (Norton), W32/Scribble-B (Sophos), Virus.Win32.Virut.ce (v) (Sunbelt), W32/Virut.CE (Fortinet), Virus.Win32.Virut (Ikarus), Win32/Virut.NBP virus (NOD32)

 PLATFORM:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    File infector

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

  TECHNICAL DETAILS

File size: меняется
File type: EXE
INITIAL SAMPLES RECEIVED DATE: 20 сентября 2009

Otras modificaciones del sistema

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\0001\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = "0"

(Note: The default value data of the said registry entry is "1" .)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\Current\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = "0"

(Note: The default value data of the said registry entry is "1" .)

HKEY_CURRENT_CONFIG\Software\Microsoft\
windows\CurrentVersion\Internet Settings
ProxyEnable = "0"

(Note: The default value data of the said registry entry is "1".)

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
\??\%System%\winlogon.exe = "\??\%System%\winlogon.exe:*:enabled:@shell32.dll,-1"

Infección de archivo

Infecta los siguientes tipos de archivo:

  • EXE
  • SCR

Propagación

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

  • RUNDLL32.EXE

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.