¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Agent.81920.A
Descubierto:16/07/2010
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:80.896 Bytes
Suma de control MD5:aee2c1e9467fa483099e673a0f55f4fc
Versión del VDF:7.10.04.21
Versión del IVDF:7.10.09.108 - viernes, 16 de julio de 2010

 General Alias:
   •  Mcafee: W32/Pushbot
   •  Kaspersky: Backdoor.Win32.IRCBot.pso
   •  Sophos: Mal/Rimecud-D
   •  Bitdefender: Trojan.Generic.4494128
   •  Panda: W32/LoLbot.N.worm
   •  GData: Trojan.Generic.4494128


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\jusched.exe
   • %WINDIR%\jusched.exb



Elimina la copia inicial del virus.




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • net stop MsMpSvc


– Ejecuta uno de los ficheros siguientes:
   • net1 stop MsMpSvc


– Ejecuta uno de los ficheros siguientes:
   • netsh firewall add allowedprogram 1.exe 1 ENABLE


– Ejecuta uno de los ficheros siguientes:
   • %WINDIR%\jusched.exe


– Ejecuta uno de los ficheros siguientes:
   • explorer.exe http://browseusers.myspace.com/Browse/Browse.aspx


– Ejecuta uno de los ficheros siguientes:
   • net stop wuauserv


– Ejecuta uno de los ficheros siguientes:
   • sc config wuauserv start= disabled


– Ejecuta uno de los ficheros siguientes:
   • net1 stop wuauserv

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%ficheros ejecutados%"="%WINDIR%\jusched.exe:*:Enabled:Java
      developer Script Browse"

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: 210.170.**********.115
Puerto: 2345
Canal: #!gf!
Apodo: NEW-[USA|00|P|%número%]

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas guardadas, empleadas por la función AutoComplete

– Las contraseñas de los siguientes programas:
   • Mozilla Firefox
   • Internet Explorer

 Informaciones diversas Accede a recursos de Internet:
   • http://browseusers.myspace.com/Browse/**********
   • http://200.223.159.82/**********


Objeto mutex:
Crea el siguiente objeto mutex:
   • Micro Upe

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el viernes, 25 de marzo de 2011
Descripción actualizada por Petre Galan el viernes, 25 de marzo de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.