Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:Worm/Agent.81920.A
Descoperit pe data de:16/07/2010
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:80.896 Bytes
MD5:aee2c1e9467fa483099e673a0f55f4fc
Versiune VDF:7.10.04.21
Versiune IVDF:7.10.09.108 - vineri, 16 iulie 2010

 General Alias:
   •  Mcafee: W32/Pushbot
   •  Kaspersky: Backdoor.Win32.IRCBot.pso
   •  Sophos: Mal/Rimecud-D
   •  Bitdefender: Trojan.Generic.4494128
   •  Panda: W32/LoLbot.N.worm
     GData: Trojan.Generic.4494128


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\jusched.exe
   • %WINDIR%\jusched.exb



Sterge copia initiala a virusului.




Incearca sa execute urmatoarele fisiere:

Numele fisierului:
   • net stop MsMpSvc


Numele fisierului:
   • net1 stop MsMpSvc


Numele fisierului:
   • netsh firewall add allowedprogram 1.exe 1 ENABLE


Numele fisierului:
   • %WINDIR%\jusched.exe


Numele fisierului:
   • explorer.exe http://browseusers.myspace.com/Browse/Browse.aspx


Numele fisierului:
   • net stop wuauserv


Numele fisierului:
   • sc config wuauserv start= disabled


Numele fisierului:
   • net1 stop wuauserv

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%fisier executat%"="%WINDIR%\jusched.exe:*:Enabled:Java
      developer Script Browse"

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: 210.170.**********.115
Port: 2345
Canal: #!gf!
Nick: NEW-[USA|00|P|%numar%]

 Furt de informatii Incearca sa obtina urmatoarele informatii:
 Parole stocate, folosite de functia AutoComplete

Parolele din urmatoarele programe:
   • Mozilla Firefox
   • Internet Explorer

 Alte informatii Acceseaza resurse de pe internet:
   • http://browseusers.myspace.com/Browse/**********
   • http://200.223.159.82/**********


Mutex:
Creeaza urmatorul mutex:
   • Micro Upe

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Friday, March 25, 2011
Description updated by Petre Galan on Friday, March 25, 2011

Back . . . .