Nombre:Worm/IRCBo.147456.3
Descubierto:14/04/2009
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:147.456 Bytes
Suma de control MD5:125d08036cac94a0965dadb1bd24a19d
Versión del IVDF:7.01.03.50 - martes 14 de abril de 2009

 General Método de propagación:
   • Red local


Alias:
   •  Mcafee: W32/IRCbot.gen.a
   •  Sophos: Troj/VBInj-Gen
   •  Panda: Bck/Poison.F
   •  Eset: Win32/IRCBot.AGP
   •  Bitdefender: Trojan.Inject.VB.M


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\fxstaller.exe



Elimina la copia inicial del virus.

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows UDP Control Center"="fxstaller.exe"

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– AIM Messenger
– MSN Messenger

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: wear.th3**********.net
Puerto: 4244
Contraseña del servidor: letmein
Canal: #!tt!#
Apodo: [00|USA|%número%]
Contraseña: mama



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Tiempo de trabajo del programa viral
    • Actividad local de los usuarios


– Además puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero
    • Se actualiza solo

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el miércoles 25 de noviembre de 2009
Descripción actualizada por Petre Galan el miércoles 25 de noviembre de 2009

Volver . . . .