Utilizamos Cookies de terceros para generar estadísticas de audiencia y mostrar publicidad personalizada analizando tu navegación. Si sigues navegando estarás aceptando su uso. Más información X
-
Portada Foro Ayuda Tutoriales Programas Blog Tecnología Drivers Videos
Windows | Android | iOS | Comunidad | Hazte Fan | Síguenos Buscador



Autorun.AOL - W32/Autorun.AOL

Nombre común: Autorun.AOL

Nombre técnico: W32/Autorun.AOL

Peligrosidad: Media

Tipo: Virus

Efectos: Se propaga explotando la vulnerabilidad denominada MS04-011, a través de redes de ordenadores y de unidades extraíbles. Tiene caracterísiticas de backdoor, ya que se intenta conectar a un canal IRC para recibir instrucciones remotas.

Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95/3.X; IIS

Fecha de detección: 15/12/2008

Detección actualizada: 22/12/2008

Estadísticas No

Descripción Breve

Autorun.AOL es un gusano cuyo objetivo principal es propagarse y afectar al mayor número de ordenadores posible. Utiliza los siguientes medios para propagarse:

a través de Internet, explotando la vulnerabilidad denominada MS04-011.
a través de redes de ordenadores.
a través de unidades extraíbles.
Además, actúa como como backdoor intentando conectarse a un canal IRC para recibir instrucciones de su creador, como descargar archivos o realizar ataques de denegación de servicio, entre otras.

Efectos

Autorun.AOL realiza las siguientes acciones:

Actúa como backdoor intentando conectarse a un canal IRC a través del escaneo de los puertos del sistema.
Si consigue conectarse, permanece a la espera de recibir instrucciones de su creador, como descargar archivos o realizar ataques de denegación de servicio, entre otras.
Metodo de Infección
Autorun.AOL crea el archivo CSRSC.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.

Autorun.AOL crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINSPOOLSVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINSPOOLSVC\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINSPOOLSVC\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSpoolSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSpoolSvc\Enum
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSpoolSvc\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSPOOLSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSPOOLSVC\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSPOOLSVC\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSpoolSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSpoolSvc\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSpoolSvc\Security
Mediante estas entradas, Autorun.AOL consigue registrarse como un servicio denominado WinSpoolSVC y así ejecutarse cada vez que Windows se inicia.
Método de Propagación

Autorun.AOL se propaga a través de Internet explotando cierta vulnerabilidad, de redes de ordenadores y de unidades extraíbles.

1-. Propagación a de Internet

Para ello, realiza el siguiente proceso:

Ataca direcciones IP aleatorias, en las que intenta explotar la vulnerabilidad denominada MS04-011.
Si lo consigue, descarga y ejecuta el gusano en el ordenador vulnerable.


2.- Propagación a través de redes de ordenadores.

Comprueba si el ordenador afectado está conectado a una red.
En caso afirmativo, intenta acceder a los recursos compartidos de red, empleando contraseñas que son típicas o fáciles de adivinar.
Además, intenta acceder a servidores SQL utilizando las siguientes contraseñas:
12345
123456
1234567
12345678
123456789
1234567890
access
accounting
accounts
admin
administrador
administrat
administrateur
administrator
admins
backup
bitch
blank
brian
changeme
chris
cisco
compaq
control
database
databasepass
databasepassword
db1234
dbpass
dbpassword
default
domain
domainpass
domainpassword
exchange
george
guest
hello
homeuser
internet
intranet
katie
linux
login
loginpass
nokia
oeminstall
oemuser
office
oracle
orainstall
outlook
pass1234
passwd
password
password1
peter
qwerty
server
siemens
sqlpassoainstall
staff
student
susan
system
teacher
technical
win2000
win2k
win98
windows
winnt
winpass
winxp
3-. Propagación a través de unidades extraíbles

Crea una copia de sí mismo en los dispositivos extraíbles que el usuario conecte al ordenador con el nombre AUTORUNME.EXE.

Otros Detalles

Autorun.AOL tiene un tamaño de 32256 Bytes.

Además, Autorun.AOL crea un mutex llamado Xx8K78xP, para asegurarse de que únicamente haya una copia de sí mismo ejecutándose en cada momento.


Enviado con fecha: 22-12-2008 17:01:31 - Visto: 2586 veces.


Ver Antivirus gratis - Volver al Índice de Virus.

Información extraida de la Web de Panda Antivirus.


Foro Virus
Tengo un virus test.reg y no consigo eliminarlo.
Ayuda para eliminar babylon.
Como descargo antivirus.
Memorias infectadas.
Telefono samsung f480 lento y se me olvido contraseñ.
Pc se bloquea al conectar disco duro.
Que antivirus me recomiendan para mi laptop.
El antivirus indica: ke la pc no esta protegida.
Como elimino un bootstrapper_0-uvdhqmap_.
Como apagar el x7.






Ver también:
Autorun.aol - w32/autorun.aolAutorun.aol - w32/autorun.aol »






Configurarequipos TVBajar Antivirus gratisCual es mi IPTest velocidadTrucosADSL
OverclockingForo ADSLDiccionarioWirelessMapa Segunda manoTiendas de informatica
Blog TecnologíaÚltimos VirusManualesSeguridadMapa ForoOrdenadores segunda mano

Aviso LegalPolitica de Privacidad
PORTADADirectorio



Buscar: en
ConfigurarEquipos.com® - 29 Marzo 2024 | Informática Windows | Mapa Web | Foro Ayuda