|
W32/Vbs.Runauto
Runauto es un gusano Visual Script residente en memoria, reportado el 13 de Marzo del 2007 que se propaga a través de diversos servicios de Internet, incluso en mensajes de correo.Infecta la carpeta raíz de todas las unidades de disco, incluyendo los dispositivos removibles excluyendo a los disqueteras floppy.
Oculta sus archivos del Explorador de Windows.
Infecta Windows 95/98/Me/NT/2000/XP y es Visual Basic Script, con una extensión de apenas 1,112 bytes.
Al ser activado se copia a la carpeta %System% con los nombres:
para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "userinit.exe,autorun.bat"
para verificar que el gusano y sus efectos payload sean ejecutados crea la llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"autorun" = "autorun.exe"
para ocultar sus archivos del Explorardor de Windows crea las llaves:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo el gusano ejecuta el autorun.exe.
Luego revisa todas las unidades de disco y dispositivos removibles, inlcuyendo los de memoria USB y copia a las carpetas raíz de todas las unidades de disco los siguientes archivos, exceptuando a las disqueteras floppy:
PER ANTIVIRUS® versión 10.0 con registro de virus al 13 de Marzo del 2007 detecta y elimina este gusano Visual Script.
