Nombre:Worm/Spybot.95744
Descubierto:06/05/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:95.744 Bytes
Suma de control MD5:19ad756af282a3af98dc50f3c40e51b0
Versión del IVDF:6.30.00.159 - viernes 6 de mayo de 2005

 General Alias:
   •  Mcafee: Generic.dx
   •  Bitdefender: Trojan.Generic.3291040
   •  Eset: Win32/Poebot.NCA


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Reduce las opciones de seguridad
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\spooIsv.exe



Elimina la copia inicial del virus.



Elimina el siguiente fichero:
   • %directorio donde se ejecuta el programa viral%\kgorzsd.bat



Crea el siguiente fichero:

%directorio donde se ejecuta el programa viral%\kgorzsd.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.



Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • cmd /c ""%directorio donde se ejecuta el programa viral%\kgorzsd.bat" "


– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\spooIsv.exe

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Spooler SubSystem App"="%SYSDIR%\spooIsv.exe"



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\spooIsv.exe"="%SYSDIR%\spooIsv.exe:*:Enabled:Spooler
      SubSystem App"

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: her.d0k**********.com
Puerto: 4466
Canal: #balengor
Apodo: d[cUnawXg]b

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Borland C++.

Descripción insertada por Petre Galan el jueves 12 de agosto de 2010
Descripción actualizada por Petre Galan el jueves 12 de agosto de 2010

Volver . . . .