Runauto.C

RUNAUTO.C gusano VBS de Internet infecta directorios raíz de todas las unidades de disco excepto floppies.

W32/Vbs.Runauto.C

Runauto.C es un gusano Visual Script residente en memoria, reportado el 20 de Septiembre del 2007 que se propaga a través de diversos servicios de Internet, incluso en mensajes de correo.

Infecta el directorio raíz de todas las unidades de disco, incluyendo los dispositivos removibles, excluyendo a los diskettes.

Oculta archivos del Explorador de Windows y cambia el título de la barra superior del Internet Explorer por palabras soeces en inglés.

Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, es Visual Basic Script, con una extensión de apenas 3,530 bytes.

Al ser activado se copia a las siguientes rutas y con los nombres:

%Windir%\Bit@UOM.dll.vbs
%SystemDrive%\autorun.inf
%SystemDrive%\Bit@UOM.dll.vbs

Luego se copia a todas las unidades de disco removibles, excepto a los diskettes:

[Unidad_de_disco]\Bit@UOM.dll.vbs

para infectar los dispositivos de almacenamiento removibles, cuando se usen en otro equipos, se copia a:

[Unidad_de_disco]\autorun.inf

para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bit@UOM" = "%Windir%\Bit@UOM.dll.vbs"

para ocultar sus archivos del Explorador de Windows crea las llaves:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "0"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%SystemDrive% representa a la unidad donde Windows se encuentra instalado, que por defecto es la unidad C:\

Al siguiente inicio del equipo el gusano revisa todas las unidades de disco y dispositivos removibles, inlcuyendo los de memoria USB y se copia a las carpetas raíz de esas unidades, exceptuando a los diskettes.

Crea además la siguiente llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile]
"DefaultIcon" = "shell32.dll,2"

Y para cambiar el título de la barra superior del Internet Explorer por unas frases soeces en inglés, crea la llave:

[HKEY_USERS\[ALL USERS]\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "Fuck You!! FUCK.... FUCK.... FUCK............."

PER ANTIVIRUS® versión 10.2 con registro de virus al 20 de Septiembre del 2007 detecta y elimina este gusano Visual Script.