AutoKitty.A - W32/AutoKitty.A.worm quitar virus, desinfectar, eliminar.

Utilizamos Cookies de terceros para generar estadísticas de audiencia y mostrar publicidad personalizada analizando tu navegación. Si sigues navegando estarás aceptando su uso. Más información

Portada

Foro Ayuda

Tutoriales

Programas

Blog Tecnología

Drivers

Videos

AutoKitty.A - W32/AutoKitty.A.worm

Nombre común: AutoKitty.A

Nombre técnico: W32/AutoKitty.A.worm

Peligrosidad: Media

Tipo: Gusano

Efectos: Realiza numerosas modificaciones en el Registro de Windows, que imposibilitan que el ordenador funcione con total normalidad. Deshabilita varias funciones del menú Inicio, como Buscar, y aplicaciones como el Administrador de tareas. Se propaga a través de unidades compartidas y mapeadas.

Plataformas que infecta: Windows 2003/XP/2000/NT

Fecha de detección: 02/09/2008

Detección actualizada: 03/09/2008

Estadísticas No

Descripción Breve

AutoKitty.A es un gusano que realiza numerosas modificaciones en el Registro de Windows, lo que imposibilita que el ordenador funcione con total normalidad.

Estas modificaciones impiden al usuario realizar las siguientes acciones, entre otras:

Realizar búsquedas y ejecutar archivos de manera rápida y directa, ya que deshabilita las opciones Buscar y Ejecutar del menú Inicio.
Visualizar los procesos que están en ejecución a través del Administrador de Tareas.
Modificar la configuración de las características de las carpetas.
Desplegar el menú contextual, es decir, el que aparece cuando se pulsa el botón derecho del ratón.
AutoKitty.A se propaga a través de unidades compartidas y mapeadas realizando copias de sí mismo en las mismas.

Efectos

AutoKitty.A realiza numerosas modificaciones en el Registro de Windows del ordenador afectado, que tienen las siguientes consecuencias:

Deshabilita los siguientes elementos:
- Editor del Registro de Windows.
- Administrador de Tareas, lo que impediría al usuario visualizar los procesos que están en ejecución.
- Opciones de carpeta del Explorador de Windows, que impide acceder al menú de configuración de las carpetas.
- menú contextual, es decir, el que se despliega cuando se pulsa el botón derecho del ratón.
- consola de comandos: CMD.EXE.
- opción de Búsqueda del Explorador de Windows.
Deshabilita las siguientes opciones del menú Inicio:
- Buscar, que permite buscar archivos de una manera rápida y directa.
- Ejecutar, que permite ejeuctar archivos de una manera rápida y directa.
Deshabilita el cortafuegos del sistema operativo, reduciendo el nivel de seguridad del ordenador.
Utiliza diversas técnicas para dificultar su detección:
- Oculta las carpetas con atributo oculto.
- Oculta las extensiones de los archivos.
Por otra parte, realiza estas otras acciones:

Modifica la página de inicio de Internet Explorer y la cambia por la siguiente:

Modifica el título de las ventanas de Internet Explorer, añadiendo el siguiente texto:
Yours truly, Kitty Kat
Modifica las características de las propiedades de sistema:

Metodo de Infección
AutoKitty.A crea los siguientes archivos, que son copias del gusano:

un archivo con el nombre con el que haya sido ejecutado, en la carpeta CACHE del directorio de Windows y en la carpeta Picture, creada por él mismo, del directorio raíz de todas las unidades.
DTSYSTRA.EXE y SYSHOST.EXE, en la carpeta system del directorio de Windows.
PROMON.EXE y DLCTRL.EXE, en el directorio de sistema de Windows.
MSSRC.EXE, en la carpeta drivers del directorio de sistema de Windows.

También crea un archivo AUTORUN.INF en el directorio raíz de todas las unidades disponibles para conseguir ejecutar el gusano cada vez que se accede a alguna unidad.

AutoKitty.A crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
dlctrl = %sysdir%\dlctrl.exe
donde %sysdir% es el directorio de sistema de Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
mssrc = %sysdir%\drivers\mssrc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
promon =%sysdir%\promon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
dtsystra = %windir%\system\dtsystra.exe
donde %windir% es el directorio de Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
syshost = %windir%\system\syshost.exe
Mediante estas entradas, AutoKitty.A consigue ejecutarse cada vez que Windows se inicia.
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableRegistryTools = 1
Deshabilita el Editor del Registro de Windows.
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableTaskMgr = 1
Deshabilita el Administrador de Tareas.
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFolderOptions = 1
No muestra la opción Opciones de Carpeta en el Explorador de Windows.
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableCMD = 1
Deshabilita la consola de comandos.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoTrayContextMenu = 1
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoViewContextMenu = 1
Mediante estas dos entradas, no muestra el menú contextual, es decir, el que se despliega cuando de pulsa el botón derecho del ratón.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoRun = 1
No muestra la opción Ejecutar del menú Inicio.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFind = 1
No muestra la opción Buscar del menú Inicio.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoShellSearchButton = 1
No muestra la opción Búsqueda en el Explorador de Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon
DisableCAD = 1
Deshabilita la opción de Ctrl+Alt+Supr como medida de seguridad para iniciar sesión.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Window Title = Yours truly, Kitty Kat
Modifica el título de las ventanas de Internet Explorer.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
EnableBalloonTips = 0

AutoKitty.A crea las siguientes entradas en el Registro de Windows para desactivar el cortafuegos del sistema operativo:

HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile
DoNotAllowExceptions = 0
HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile
EnableFirewall = 0

HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile
DoNotAllowExceptions = 0
HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile
EnableFirewall = 0

AutoKitty.A modifica las siguientes entradas del Registro de Windows:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ Main
Start Page = %página de inicio establecida por el usuario%
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ Main
Start Page = http://www.lyricsandsongs.com/song/759770.html
Modifica la página de inicio de Internet Explorer.
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion
RegisteredOwner
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion
RegisteredOwner = KittyKat
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion
ProductId
Cambia esta entrada por:
KEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion
ProductId = KITTY-KAT-LOVESSS-YOUUU
Estas dos modificaciones cambian la información de las propiedades de sistema referentes al nombre de usuario al que está registrado el sistema operativo, así como el identificador del producto.
Además, modifica estas entradas del Registro de Windows para ocultar su presencia y dificultar su detección:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Folder\ Hidden\ SHOWALL
CheckedValue = 1
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Folder\ Hidden\ SHOWALL
CheckedValue = 0
Oculta las carpetas con atributo de oculto.
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Folder\ HideFileExt
CheckedValue = 1
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Folder\ HideFileExt
CheckedValue = 0
Oculta las extensiones de los archivos.
Método de Propagación
AutoKitty.A llega al ordenador en un archivo con el icono de Hello Kitty:

AutoKitty.A se propaga realizando copias de sí mismo en todas las unidades disponibles del sistema, tanto mapeadas como extraíbles. Además, crea un archivo AUTORUN.INF en el directorio raíz de todas las unidades para conseguir que el gusano se ejecute cada vez que se acceda a alguna de ellas.

Otros Detalles

AutoKitty.A está escrito en el lenguaje de programación AutoIT. Este gusano tiene un tamaño de 1269658 Bytes.

Enviado con fecha: 06-09-2008 11:49:05 - Visto: 3231 veces.

Ver Antivirus gratis - Volver al Índice de Virus.

Información extraida de la Web de Panda Antivirus.

Foro Virus