Nombre:Worm/Koobface.38400D.1
Descubierto:09/02/2010
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:38.400 Bytes
Suma de control MD5:879acbc3fb893a48c04165c307e43f81
Versión del IVDF:7.10.04.02 - martes 9 de febrero de 2010

 General Alias:
   •  Sophos: Mal/Generic-A
   •  Panda: W32/Koobface.GI.worm
   •  Eset: Win32/Koobface.NCL
   •  Bitdefender: Trojan.Koobface.67


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • \windows\pp14.exe



Sobrescribe un fichero.
%WINDIR%\pp14.exe



Elimina la copia inicial del virus.



Elimina el siguiente fichero:
   • %WINDIR%\dxxdv34567.bat



Crea los siguientes ficheros:

%WINDIR%\dxxdv34567.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
%WINDIR%\fdgg34353edfgdfdf



Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://microsoft.msn.com.ero**********.info/?data=


– La dirección es la siguiente:
   • http://microsoft.msn.com.eround.info/**********?456544


– La dirección es la siguiente:
   • http://microsoft.msn.com.eround.info/**********?695599


– Las direcciones son las siguientes:
   • http://welovetweet.com/**********/?action=&v=%número%&crc=%número%
   • http://welovetweet.com/**********/?action=&a=%número%&v=%número%&pid


– La dirección es la siguiente:
   • http://microsoft.msn.com.eround.info/**********?referer&screen=&url=&rand=%número%


– La dirección es la siguiente:
   • http://gog**********.com/?data=




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • cmd /c %WINDIR%\dxxdv34567.bat


– Ejecuta uno de los ficheros siguientes:
   • "%PROGRAM FILES%\Internet Explorer\iexplore.exe" -Embedding

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "pp"="%WINDIR%\pp14.exe"



Modifica la siguiente clave del registro:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Nuevo valor:
   • "Locked"=dword:0x00000000

 Informaciones diversas  Para buscar una conexión a Internet, contacta el siguiente sitio web:
   • http://www.google.com

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el lunes 21 de junio de 2010
Descripción actualizada por Petre Galan el lunes 21 de junio de 2010

Volver . . . .