W32/AHKHeap-A

Vea la información para eliminar gusanos.

Configure el escaneado para que escanee todos los archivos, de forma que detecte y desinfecte los scripts y archivos INF que suelta el gusano.

W32/AHKHeap-A es un gusano para plataformas Windows.

Al ejecutarse por primera vez, W32/AHKHeap-A crea los archivos siguientes:

<Temp>\MicrosoftPowerPoint\2.mp3 (puede eliminarse sin peligro) <Temp>\MicrosoftPowerPoint\drivelist.txt (puede eliminarse sin peligro) <Temp>\MicrosoftPowerPoint\Icon.ico (puede eliminarse sin peligro) <Temp>\MicrosoftPowerPoint\Install.txt (detectado como W32/AHKHeap-A) <Temp>\MicrosoftPowerPoint\pathlist.txt (puede eliminarse sin peligro) <Temp>\MicrosoftPowerPoint\svchost.exe (puede eliminarse sin peligro) C:\heap41a\2.mp3 (puede eliminarse sin peligro) C:\heap41a\drivelist.txt (puede eliminarse sin peligro) C:\heap41a\Icon.ico (puede eliminarse sin peligro) C:\heap41a\reproduce.txt (detectado como W32/AHKHeap-A) C:\heap41a\script1.txt (detectado como W32/AHKHeap-A) C:\heap41a\std.txt (detectado como W32/AHKHeap-A) C:\heap41a\svchost.exe (puede eliminarse sin peligro) C:\heap41a\offspring\autorun.inf (detectado como W32/AHKHeap-A)

W32/AHKHeap-A intenta copiarse periódicamente en unidades extraíbles y memorias USB. El gusano intentará crear un archivo oculto Autorun.inf en la unidad extraíble y copiarse en la misma con el nombre MicrosoftPowerPoint.exe.

El archivo Autorun.inf está diseñado para iniciar el gusano en cuanto la unidad extraíble se conecte a un equipo infectado.

Las entradas de registro siguientes se modifican para ejecutar W32/AHKHeap-A al iniciar el equipo:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run status present

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run winlogon C:\heap41a\svchost.exe C:\heap41a\std.txt

Se crea la entrada de registro siguiente:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue 0