• Actualidad
• Trucos
• Virus
• Hardware
• Software
• Internet
• Mac
• Pc
• Diversos

RSS / /

AUTOHOOK gusano HTTP infecta unidades de disco fijas y removibles descarga archivo con URL's infectadas.

Por PERAntivirus.com

• Votar por este artículo
• Recomendar este artículo a un amigo
• Enviar este artículo por email
• Contactar al autor
• Opine en los foros
• Imprimir
• Publicar artículos en esta revista

Autook es un gusano residente en memoria reportado el 19 de Febrero del 2008 que se propaga a través de servicios de Internet principalmente visitando páginas web exprofesamente infectadas.

Infecta todas las unidades de disco fijos, lógicas y removibles, incluyendo dispositivos de almacenamiento USB.

El gusano descarga un archivo que cambia la configuración del sistema desde un portal ubicado en Beijing, China:

El cual auto-ejecuta y conecta a otras direcciones URL ubicadas en China que descargan archivos con códigos arbitrarios

Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, desarrollado en Visual C++, con una extensión de 89KB y no está encriptado.

Al ser activado se copia a la carpeta %System% con los nombres:

* %System%\[nombre_aleatorio].DLL
* %System%\[nombre_aleatorio].EXE

y para ejecutarse la próxima vez que se active el crea las llaves:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7FBDAFA3]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\7FBDAFA3]
[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\7FBDAFA3]

Para engancharse (hook) a todos los sistemas basados en tecnología NT crea la llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT]
"ReportBootOk" = "1"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el gusano borra la sub-llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc]

borra además la llave de registro:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc]
"ImagePath" = "*%SystemRoot%\System32\svchost.exe -k netsvcs*"

El gusano se copia a la raíz de todas las unidades de disco existentes en el sitema o la red local LAN:

%Unidad_de_disco%\auto.exe

para ejecutarse cada vez que se abra cualquier unidad de disco se copia a:

%Unidad_de_disco%\autorun.inf

El gusano intenta descargar un archivo que cambia la configuración del sistema desde un portal ubicado en Beijing, China:

http://ddos.fuckunion.com

Si los descarga auto-ejecuta y conecta a otras direciones URL ubicadas en China que descargan y ejecutan archivos con códigos arbitrarios (al momento del pte, informe, los sitios de descarga se encuentran activos a través de Proxies ubicados en el hemisferio Este).

Compartir               

Por PERAntivirus.com
Publicado Tuesday 19 de February de 2008 en la Revista tecnologia sección virus

---

También puede navegar por el contenido de nuestras principales revistas:
Cine Cocina Deportes Ecología Esotérico Espectáculos Mascotas	Mujer Opine Salud Sexualidad Tecnología Turismo Otras Revistas