ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Worm.Win32.AutoRun

Data de detecção 06/30/2010
Classe Worm
Plataforma Win32
Descrição

O worm carrega o arquivo .dll em todos os processos ativos.

O worm também intercepta eventos de mouse e teclado se um dos processos listados abaixo for lançado:

maplestory.exe
dekaron.exe
gc.exe
RagFree.exe
Ragexe.exe
ybclient.exe
wsm.exe
sro_client.exe
so3d.exe
ge.exe
elementclient.exe

O worm coleta dados da conta relacionados aos seguintes jogos:

ZhengTu
Wanmi Shijie ou Mundo Perfeito
Dekaron Siwan Mojie
HuangYi Online
Rexue Jianghu
ROHAN
Selo Online
Maple Story
R2 (Reinado da Revolução)
Talesweaver

Os dados coletados são enviados para o site do usuário mal-intencionado remoto.

O worm também modifica os seguintes valores de parâmetro de chave de registro do sistema:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFol
derHiddenSHOWALL]
"CheckedValue" = "0"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Oculto" = "2"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"ShowSuperHidden" = "0"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionPociliesExplorer]
"NoDriveTypeAutoRun" = "0x91"

Por exemplo, Worm.Win32.AutoRun.beot:

O worm se copia para discos locais e recursos de rede acessíveis. É o Windows (arquivo PE-EXE). Tem 47733 bytes de tamanho. É embalado por FSG. O tamanho do arquivo descompactado é de cerca de 160 Kb. Está escrito em Delphi.

Instalação

Uma vez iniciado, o worm copia seu corpo para um disco do sistema do computador de um usuário.

Para garantir que a cópia criada seja iniciada automaticamente sempre que o sistema for reinicializado, a seguinte chave do Registro será criada:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun] 

Propagação

O worm copia seu corpo em todos os discos removíveis graváveis ​​conectados ao computador infectado. O arquivo "AutoRun.inf" é criado junto com uma cópia na raiz de um disco infectado. Ele prevê que uma cópia seja executada toda vez que um usuário abrir um disco removível infectado usando o "Explorer".


Link para o original