Nombre:TR/Spy.188416.128
Descubierto:23/08/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:188.416 Bytes
Suma de control MD5:f9cb29a3558271d771ed4e201b27e1f5
Versión del IVDF:7.10.10.242 - lunes 23 de agosto de 2010

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: Artemis!F9CB29A35582
   •  Kaspersky: Trojan.Win32.Buzus.ffys
   •  Microsoft: Trojan:Win32/Ircbrute
   •  Panda: Trj/CI.A
   •  PCTools: Backdoor.LolBot
   •  Eset: IRC/SdBot
   •  Sunbelt: Trojan.Win32.Ircbrute
   •  AhnLab: Worm/Win32.Palevo
   •  DrWeb: Trojan.DownLoader1.18394
   •  Ikarus: Trojan.Win32.Buzus


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Reduce las opciones de seguridad
   • Suelta ficheros
   • Suelta un fichero dañino
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\jusched.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %cookies%\index.dat
   • %HOME%\Local Settings\History\History.IE5\index.dat

– Un fichero temporal, que puede ser eliminado después:
   • %temporary internet files%\Content.IE5\index.dat

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"

 IRC – Este programa malicioso puede obtener y enviar las siguientes informaciones:
    • Nombre de usuario

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Carlos Valero Llabata el miércoles 25 de agosto de 2010
Descripción actualizada por Carlos Valero Llabata el miércoles 25 de agosto de 2010

Volver . . . .