AUTORUN.IB gusano de Internet infecta la raíz de unidades de disco deshabilita funciones del sistema. 

© Jorge Machado  Lima-Perú

VBS/AutoRun.IB

AutoRun.IB es un gusano residente en memoria, reportado el 24 de Agosto del 2008, que se propaga por servicios de Internet o visitando páginas web maliciosamente acondicionadas.

Ha sido desarrollado en Líbano por un hacker con el apodo de Sowar

Infecta la raíz de las unidades de disco, físicas, lógicas y removibles, desestabiliza el sistema y deshabilita funciones del mismo.

Es un Visual Basic Script e infecta a Windows 95/98/NT/2000/XP/Vista y Server 2003.

Una vez ingresado al sistema se copia al directorio %Windir% como SysRes.vbs y para activarse la próxima vez que se re-inicie el sistema, crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System Restore wscript.exe "= %Windir%\SysRes.vbs"

Al siguiente inicio del equipo, cambia valores en las siguientes sub-llaves para desestabilizar el sistema y deshabilitar funciones del mismo:

para cambiar u ocultar el título del Internet Explorer:

 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
 Window Title = 0

 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advancede]
 Hidden = 0

para deshabilitar el cambio de extensiones del Explorador de Windows:

 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advancede]
 HideFileExt = 0

para deshabilitar el Editor de Registros de Windows:

 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 DisableRegistryTools = 0

para deshabilitar el Administrador de Barra de Tareas de Windows:

 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 DisableTaskMgr = 0

para cambiar la página de Inicio del Internet Explorer:

 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
 Homepage = 0

para deshabilitar la función de Ayuda del Internet Explorer:

 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
 IeakHelpString = 0

El gusano infecta todas las unidades de disco, físicas, lógicas y removibles, copiándoles un archivo AUTORUN.INF, para que que se active cada vez que cualquier dispositivo de almacenamiento es abierto:

[AutoRun]
open=sconfig.exe
shellexecute=sconfig.exe
shell\Auto\command=sconfig.exe

Para es mismo propósito se copia a:

%Root%\ntidr.vbs  

Para marcar su autoría, el autor del virus crea y agrega diversos valores a las sub-llaves:

[HKEY_CURRENT_USER\Software\sowar]
[HKEY_LOCAL_MACHINE\SOFTWARE\sowar]

PER ANTIVIRUS® versión X6 con registro de virus al 24 de Agosto del 2008 detecta y elimina este gusano. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS