ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Worm.Win32.AutoRun

Fecha de detección 06/30/2010
Clase Worm
Plataforma Win32
Descripción

El gusano carga el archivo .dll a todos los procesos activos.

El gusano también intercepta eventos de mouse y teclado si se ha lanzado uno de los procesos enumerados a continuación:

maplestory.exe
dekaron.exe
gc.exe
RagFree.exe
Ragexe.exe
ybclient.exe
wsm.exe
sro_client.exe
so3d.exe
ge.exe
elementclient.exe

El gusano recolecta datos de la cuenta relacionados con los siguientes juegos:

ZhengTu
Wanmi Shijie o mundo perfecto
Dekaron Siwan Mojie
HuangYi en línea
Rexue Jianghu
ROHAN
Sello en línea
Maple Story
R2 (Reino de la Revolución)
Talesweaver

Los datos cosechados se envían al sitio del usuario malintencionado remoto.

El gusano también modifica los siguientes valores de parámetros de clave de registro del sistema:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFol
derHiddenSHOWALL]
"CheckedValue" = "0"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Oculto" = "2"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"ShowSuperHidden" = "0"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionPociliesExplorer]
"NoDriveTypeAutoRun" = "0x91"

Por ejemplo, Worm.Win32.AutoRun.beot:

Worm se copia a sí mismo en discos locales y recursos de red accesibles. Es Windows (archivo PE-EXE). Tiene un tamaño de 47733 bytes. Está empaquetado por FSG. El tamaño del archivo desempaquetado es de aproximadamente 160 Kb. Está escrito en Delphi.

Instalación

Una vez lanzado, el gusano copia su cuerpo en un disco del sistema de la computadora de un usuario.

Para garantizar que la copia creada se inicia automáticamente cada vez que se reinicia el sistema, se crea la siguiente clave de registro:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun] 

Propagación

El gusano copia su cuerpo en todos los discos removibles grabables conectados a la computadora infectada. El archivo "AutoRun.inf" se crea junto con una copia en la raíz de un disco infectado. Proporciona una copia para ejecutar cada vez que un usuario abre un disco extraíble infectado con "Explorer".


Enlace al original