W32/Vbs.Runauto
Runauto es un gusano Visual Script residente en memoria, reportado el 13 de Marzo del 2007 que se propaga a través de diversos servicios de Internet, incluso en mensajes de correo.
Infecta la carpeta raíz de todas las unidades de disco, incluyendo los dispositivos removibles excluyendo a los disqueteras floppy.
Oculta sus archivos del Explorador de Windows.
Infecta Windows 95/98/Me/NT/2000/XP y es Visual Basic Script, con una extensión de apenas 1,112 bytes.
Al ser activado se copia a la carpeta %System% con los nombres:
autorun.vbs
autorun.reg
autorun.inf
autorun.exe
autorun.bat
para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Userinit» = «userinit.exe,autorun.bat»
para verificar que el gusano y sus efectos payload sean ejecutados crea la llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
«autorun» = «autorun.exe»
para ocultar sus archivos del Explorardor de Windows crea las llaves:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
«ShowSuperHidden» = «0»
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
«Hidden» = «2»
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo el gusano ejecuta el autorun.exe.
Luego revisa todas las unidades de disco y dispositivos removibles, inlcuyendo los de memoria USB y copia a las carpetas raíz de todas las unidades de disco los siguientes archivos, exceptuando a las disqueteras floppy:
autorun.vbs
autorun.reg
autorun.inf
autorun.exe
autorun.bat