Nombre:TR/Kryptik.FU
Descubierto:01/09/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:98.304 Bytes
Suma de control MD5:d2f7cb6da675a38bfa963c023a732b1f
Versión del IVDF:7.10.11.70 - jueves 2 de septiembre de 2010

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: W32.Yimfoca
   •  Kaspersky: IM-Worm.Win32.Yahos.ci
   •  Microsoft: Trojan:Win32/Ircbrute
   •  Panda: W32/MSNworm.JB.worm
   •  PCTools: Malware.Yimfoca
   •  VirusBuster: Trojan.Ircbrute.BLB
   •  Eset: IRC/SdBot.AVU
   •  Sunbelt: Trojan.Win32.Ircbrute
   •  AhnLab: Malware/Win32.Yimfoca
   •  DrWeb: BackDoor.Siggen.25869
   •  Fortinet: W32/SDBot.30ED!tr
   •  Ikarus: Trojan.Win32.Ircbrute
   •  Norman: W32/Ircbrute.AR


Plataformas / Sistemas operativos:
   • Windows XP


Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\jusched.exe
   • %WINDIR%\jusched.exg



Elimina el siguiente fichero:
   • %WINDIR%\jusched.exg

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "c:\\%directorio actual%\\%ficheros ejecutados%
      "="%WINDIR%\jusched.exe:*:Enabled:Java developer Script Browse"

Descripción insertada por Christoph Baumann el lunes 6 de septiembre de 2010
Descripción actualizada por Christoph Baumann el lunes 6 de septiembre de 2010

Volver . . . .