RSS | Foro | Encuestas | Mapa de nuestro sitio




Todas las amenazas

Virus

Hackers

Spam
Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario


El entorno de los programas maliciosos
Descripciones de los programas maliciosos
Los creadores de programas maliciosos
Historia de los programas maliciosos
Tendencias
Si su ordenador está infectado

 
Sobre hackers
About Hackers

Más información sobre hackers y vulnerabilidados en nuestra sección sobre hackers y vulnerabilidades.
Sobre spam
Sobre spam

Lea más sobre el spam y los spammers en nuestra sección sobre spam.

 		 

  Home / Virus / Enciclopedia de virus

Worm.BAT.Autorun.dl

Detección agregada 09 abr 2009
Actualización lanzada 09 abr 2009 19:44 GMT
Descripción agregada 23 abr 2009

Detalles técnicos

Gusano que crea sus copias en los discos duros locales y en las carpetas compartidas (de red) disponibles.

El programa es un archivo de paquetes (archivo BAT). Su tamaño es de 3596 bytes.

Daños

Después de iniciarse el gusano oculta ciertos ficheros protegidos del sistema, poniendo “0” en el parámetro “ShowSuperHidden” en la siguiente llave del registro del sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

Después, trata de copiar el fichero:

%WinDir%\atidrv.exe

en el catálogo 

d:\recycler

Elimina del catálogo Windows los ficheros:

%WinDir%\yes
%WinDir%\info

Después, mediante la instrucción “ping” envía 20 solicitudes ICMP a la siguiente dirección IP:

127.0.0.1

Y establece el parámetro timeout de respuesta en 400 milisegundos.
A continuación, el gusano copia en el catálogo raíz de los discos lógicos "d", "e", "f", "g", "h", "i", "j", "k", "l", "m" y "c" los siguientes ficheros:

%WinDir%\autorun.inf
%WinDir%\ati2.bat
%WinDir%\ati2.vbs

Verifica que existe acceso a los siguientes nodos de red:

ftp.kam***.ru
***.mine.nu

Y crea en el catálogo Windows los ficheros de texto:

%WinDir%\ati.txt
%WinDir%\sc.txt
%WinDir%\sc2.txt
%WinDir%\sc3.txt

En estos ficheros el gusano guarda las instrucciones de listado de catálogos y descarga de ficheros de un servidor FTP remoto. Usando los ficheros que almacenan las instrucciones, el programa malicioso descarga ficheros desde el servidor FTP "***.mine.nu" y los guarda en el catálogo raíz de Windows bajo los nombres:

%WinDir%\ras.exe de 39325 bytes, que Kaspersky Anti-Virus detecta como not-a-virus:PSWTool.Win32.Dialupass.ac
%WinDir%\zip.exe
%WinDir%\bla.exe
%WinDir%\pro.exe de 24297 bytes, que Kaspersky Anti-Virus detecta como not-a-virus:PSWTool.Win32.PassView.bj
C:\Windows\upd.exe

También trata de desgarrar del servidor FTP:

ftp.kam***.ru

el fichero "atidrv.exe" para guardarlo en el catálogo de Windows bajo el mismo nombre:

%WinDir%\atidrv.exe

En el momento de la creación de esta descripción, el servidor FTP no funcionaba.

Después ejecuta este fichero con los siguientes parámetros:

atidrv.exe -o –sviator

Si existe el fichero:

%WinDir%\upd.exe

lo ejecuta y después lo elimina. A continuación, el gusano ejecuta los ficheros “ras.exe” y “pro.exe” que van creando un log en el mismo catálogo. Los ficheros se ejecutan con los siguientes parámetros:

%WinDir%\ras.exe /allusers /stab %WinDir%\ras.log
%WinDir%\pro.exe /stab %WinDir%\pro.log

Después, el gusano obtiene la siguiente información del sistema del usuario:

  • Información completa sobre la configuración del sistema.
  • Listado de los procesos en ejecución.
  • Información completa sobre los parámetros de la red.
  • Todas las conexione de red y puertos "en espera".
  • Contenido de la tabla de rutas.
  • Resultados de la ejecución de tracetr (traceroute) al dominio “ya.ru”.
  • El servidor DNS raíz.
  • Lista de todos los programas instalados en: 
 %Program Files%/

El gusano guarda toda la información reunida en el fichero:

%WinDir%\info

Comprime el fichero con el programa PKZIP y le pone la contraseña “viator”.
Ejecuta el fichero autoextraíble: 

%WinDir%\bla.exe

Para después, con la ayuda de una aplicación de correo electrónico de consola:

%WinDir%\blat.exe

envíar el fichero con la información robada

%WinDir%\info.zip

al correo electrónico del delincuente:

***ii2@mail.ru

Además, el gusano trata de eliminar todos los ficheros con extensión “mp3” que se encuentren en los discos lógicos "d", "e", "f", "g", "h", "i", "j", "k", "l", "m" y "c". Busca todos los ficheros bat en los discos del “c” al “m”, borra todos los atributos establecidos y guarda la dirección completa de los ficheros en el fichero de texto:

%WinDir%\reg2.txt

Las direcciones que contienen el renglón

volume recycled recycler windows

las guarda como:

%WinDir%\reg.txt
Instrucciones de eliminación

Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:

  1. Eliminar el archivo original del gusano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
  2. Eliminar los ficheros que tengan los siguientes nombres: 
    %WinDir%\atidrv.exe
%WinDir%\yes
%WinDir%\info
%WinDir%\info.zip
%WinDir%\autorun.inf
%WinDir%\ati2.bat
%WinDir%\ati2.vbs
%WinDir%\ati.txt
%WinDir%\sc.txt
%WinDir%\sc2.txt
%WinDir%\sc3.txt
%WinDir%\ras.exe 
%WinDir%\zip.exe
%WinDir%\bla.exe
%WinDir%\pro.exe 
C:\Windows\upd.exe
%WinDir%\blat.exe
%WinDir%\reg2.txt
%WinDir%\reg.txt
  3. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
 

Copyright © 1996 - 2009
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com