WORM_AUTORUN.HRL
Trojan:Win32/Rimecud.A (Microsoft), Trojan.Gen.2 (Symantec), W32/Rimecud.gen.dl (NAI), Mal/Rimecud-M (Sophos), Trojan.Win32.Encpk.adua (v) (Sunbelt), TR/Crypt.EPACK.Gen8 (Antivir), Gen:Variant.Barys.4479 (Bitdefender), W32/Kryptik.WEC!tr (Fortinet), Virus.Win32.Cryptor (Ikarus), a variant of Win32/Kryptik.AGPY trojan (NOD32), Trj/Rimecud.f (Panda)
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Worm
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Llega tras conectar las unidades extraíbles afectadas a un sistema.
Infiltra copias de sí mismo en todas las unidades extraíbles y físicas del sistema. Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
TECHNICAL DETAILS
Detalles de entrada
Llega tras conectar las unidades extraíbles afectadas a un sistema.
Instalación
Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:
- %User Profile%\selqeq.exe
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Este malware se inyecta a sí mismo en los siguientes procesos como parte de su rutina de residencia en memoria:
- svchost.exe
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = %User Profile%\selqeq.exe
Propagación
Infiltra copias de sí mismo en todas las unidades extraíbles y físicas del sistema.
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.