|
W32/AutoRun.BHX
AutoRun.BHX es un gusano residente en memoria, reportado el 28 de Agosto del 2008, que se propaga a través de servicios de Internet o redes con recursos compartidos.Infecta unidades de disco removibles y redes compartidas configuradas con contraseñas débiles. Roba nombres de usuarios y contraseñas de conocidos juegos en línea.
Se conecta a un sito web ubicado en la China y descarga un malware comprimido en formato .rar
Infecta a Windows 95/98/NT/2000/XP/Vista y Server 2003 y está desarrollado en Visual C++ con extensión variable.
Una vez ingresado al sistema se copia al directorio %Windir% como xadeiect.com que es un "dropper" que libera los siguientes archivos en las rutas:
modifica los siguientes archivos:
Para activarse la próxima vez que se re-inicie el sistema, crea la siguiente llave de registro:
[HKEY_CURENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Run]
"kava" = "%Windir%\System32\kavo.exe
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.
Al siguiente inicio del equipo, infecta la raíz de las unidades de disco removibles.
Engancha las siguientes rutinas SSDT Stealth a los procesos Kernel:
en la ruta:
%windir%\system32\wincab.sys
con el objeto de robar los nombres y contraseñas de los siguientes juegos en línea:
También se propaga a través de redes con recursos compartidos, configuradas con contraseñas débiles.
Finalmente se conecta al dominio microsofttw.com ubicado en Beijing, China y descarga un malware comprimido en formato .rar:
http://www.microsofttw.com/jj/[Removido].rar
PER ANTIVIRUS® versión X6 con registro de virus al 28 de Agosto del 2008 detecta y elimina este gusano.
