Nombre:Worm/IrcBot.mob
Descubierto:15/06/2010
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:106.497 Bytes
Suma de control MD5:2f62dbeb5c53122d70f144f66b0d129e
Versión del IVDF:7.10.08.89 - martes 15 de junio de 2010

 General Alias:
   •  Sophos: Mal/VBInject-D
   •  Bitdefender: Trojan.Generic.4023153
   •  Panda: W32/P2PWorm.MI


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %TEMPDIR%\Winlogen.exe



Crea el siguiente fichero:

%TEMPDIR%\google_cache11113.tmp



Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • "%TEMPDIR%\Winlogen.exe"


– Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\Winlogen.exe

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Firewall"="%TEMPDIR%\Winlogen.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Firewall"="%TEMPDIR%\Winlogen.exe"

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: swv2.bot**********.info
Puerto: 3211
Canal: #sWv2#
Apodo: {NEW}[USA][XP-SP3]%número%

Servidor: swv2.psy**********.cz
Puerto: 3211
Canal: #sWv2#
Apodo: {NEW}[USA][XP-SP3]%número%

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el miércoles 25 de agosto de 2010
Descripción actualizada por Petre Galan el miércoles 25 de agosto de 2010

Volver . . . .