horoscopo, juegos, humor




rss feeds RSS / /



AUTORUN.BHX

Por PERANTIVIRUS.COM

AutoRun.BHX es un gusano residente en memoria, reportado el 28 de Agosto del 2008, que se propaga a través de servicios de Internet o redes con recursos compartidos.

Infecta unidades de disco removibles y redes compartidas configuradas con contraseñas débiles. Roba nombres de usuarios y contraseñas de conocidos juegos en línea.

Se conecta a un sito web ubicado en la China y descarga un malware comprimido en formato .rar

Infecta a Windows 95/98/NT/2000/XP/Vista y Server 2003 y está desarrollado en Visual C++ con extensión variable.

Una vez ingresado al sistema se copia al directorio %Windir% como xadeiect.com que es un "dropper" que libera los siguientes archivos en las rutas:

* %Temp%\n2mmf2qu.dll
* %Windir%\system32\kavo.exe
* %Windir%\system32\kavo0.dll

modifica los siguientes archivos:

* %Temp%\6itt.sys
* %Windir%\system32\wincab.sys

Para activarse la próxima vez que se re-inicie el sistema, crea la siguiente llave de registro:

[HKEY_CURENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Run]
"kava" = "%Windir%\System32\kavo.exe

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.

Al siguiente inicio del equipo, infecta la raíz de las unidades de disco removibles.

Engancha las siguientes rutinas SSDT Stealth a los procesos Kernel:

* pntoskrnl.exe!NtOpenProcess
* ntoskrnl.exe!NtEnumerateValueKey
* ntoskrnl.exe!NtEnumerateKey

en la ruta:

%windir%\system32\wincab.sys

con el objeto de robar los nombres y contraseñas de los siguientes juegos en línea:

* Dekaron
* MapleStory
* Perfect World
* Ragnarok Online
* Seal Online
* Yulgang
* Zheng Tu Online

También se propaga a través de redes con recursos compartidos, configuradas con contraseñas débiles.

Finalmente se conecta al dominio microsofttw.com ubicado en Beijing, China y descarga un malware comprimido en formato .rar:

http://www.microsofttw.com/jj/[Removido].rar

Comparte y promueve este artículo en Internet con

Cortesía de PERANTIVIRUS.COM
Publicado Tuesday 2 de September de 2008


Nube de Tags

horoscopo juegos gratis musica noticias monografias casino tarot directorio de blogs tests interpretación de sueños conocer gente peliculas online empleos poker angeles consultorio sexual becas diarios de viajes animes clasificados chistes fotolog videos online monografias agrega tu link aqui