WORM_OTORUN.ASI
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Worm
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
Llega tras conectar las unidades extra¨ªbles afectadas a un sistema.
Utiliza el icono predeterminado de la carpeta de Windows para enga?ar a los usuarios e incitarles a abrirla. Si hace doble clic en el archivo se ejecutar¨¢ este malware.
TECHNICAL DETAILS
Detalles de entrada
Llega tras conectar las unidades extra¨ªbles afectadas a un sistema.
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Crea las siguientes copias de s¨ª mismo en el sistema afectado:
- %System%\svchoct.exe
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Agrega los siguientes archivos o componentes de archivos maliciosos:
- %User Temp%\E_N4\eAPI.fne
- %User Temp%\E_N4\eImgConverter.fne
- %User Temp%\E_N4\krnln.fnr
- %User Temp%\E_N4\PBShell.fne
- %User Temp%\E_N4\shell.fne
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Crea las carpetas siguientes:
- %User Temp%\E_N4
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Utiliza el icono predeterminado de la carpeta de Windows para enga?ar a los usuarios e incitarles a abrirla. Si hace doble clic en el archivo se ejecutar¨¢ este malware.
T¨¦cnica de inicio autom¨¢tico
Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
KXOSUK = "%System%\svchoct.exe"
±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô
Este malware infiltra la(s) siguiente(s) copia(s) de s¨ª mismo en todas las unidades extra¨ªbles:
- {space}.exe