ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Trojan.Win32.Autoit

Fecha de detección 02/08/2003
Clase Trojan
Plataforma Win32
Descripción

Una vez lanzado, el troyano realiza las siguientes acciones:

  • Intenta conectarse a los siguientes servidores HTTP:
     87. ***. 14
    
    
    
    69. ***. 224
    
    
    
    
  • Crea el directorio:
    
    
    
    % System% <rnd> 

    donde <rnd> es un número decimal aleatorio de cinco dígitos.

  • Extrae un archivo de su cuerpo y lo guarda en el sistema como:
     % System% <rnd> svchost.exe 

    (525 312 bytes, detectado por Kaspersky Anti-Virus como "not-a-virus: Monitor.Win32.Ardamax.ae")

  • Lanza el archivo extraído para su ejecución.
  • Modifica los valores de las siguientes claves de registro del sistema:
    
    
    
    [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
    
    
    
    "NofolderOptions" = 0
    
    
    
    
    
    
    
    [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
    
    
    
    "DisableTaskMgr" = 0
    
    
    
    
    
    
    
    [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
    
    
    
    "DisableRegistryTools" = 1
    
    
    
    

    La modificación de la última clave desactiva el editor de registro.

  • Crea el archivo:
    
    
    
    % System% setup.ini (96 bytes) 

    con el siguiente contenido:

    
    
    
    [Autorun]
    
    
    
    Open = regsvr.exe
    
    
    
    Shellexecute = regsvr.exe
    
    
    
    ShellOpencommand = regsvr.exe
    
    
    
    Shell = abierto
    
    
    
    
  • Se inicia el intérprete de comandos del sistema "cmd.exe" con los siguientes parámetros:
     / C AT / borrar / sí 

    Esto cancela todas las tareas programadas en el Programador de tareas de Windows.

     / C AT 09:00 / interactivo / CADA: m, t, w, th, f, s, su% System% svchost.exe 

Todos los días a las 9:00, el Programador de tareas de Windows lanzará una copia del troyano.


Enlace al original