¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Dorkbot.A.19
Descubierto:07/04/2011
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:133.632 Bytes
Suma de control MD5:5449470964e56a1fe71140ecd2d4b8c5
Versin del VDF:7.11.05.216 - jueves 7 de abril de 2011
Versin del IVDF:7.11.05.216 - jueves 7 de abril de 2011

 General Mtodo de propagacin:
    Funcin de autoejecucin


Alias:
   •  Kaspersky: Trojan.Win32.Scar.dvcu
   •  F-Secure: Trojan.Win32.Scar.dvcu
   •  Bitdefender: Trojan.Scar.M
     GData: Trojan.Scar.M
     DrWeb: Trojan.Inject.30797


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Suelta ficheros dainos
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %HOME%\Application Data\%cadena de caracteres%.exe
   • %disquetera%\RECYCLER\%cadena de caracteres%.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%




Intenta ejecutar el siguiente fichero:

Ejecuta uno de los ficheros siguientes:
   • %HOME%\Application Data\%cadena de caracteres%.exe

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%cadena de caracteres%"="%HOME%\Application Data\%cadena de caracteres%.exe"

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: haso.duk**********.com
Puerto: 8888
Apodo: n{US|XPa}%serie de caracteres aleatorios%

 Robo de informaciones Intenta robar las siguientes informaciones:
 Contraseas tipeadas en los campos de contraseas

Inicia una rutina de creacin de ficheros log despus de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • *officebanking.cl/*login.asp*
   • *.alertpay.*/*login.aspx
   • *.moneybookers.*/*login.pl
   • *runescape*/*weblogin*
   • *steampowered*/login*
   • *facebook.*/login.php*
   • *login.yahoo.*/*login*
   • *login.live.*/*post.srf*
   • *gmx.*/*FormLogin*
   • *fastmail.*/mail/*
   • *bigstring.*/*index.php*
   • *aol.*/*login.psp*
   • *google.*/*ServiceLoginAuth*
   • *paypal.*/webscr?cmd=_login-submit*

 Inyectar el cdigo viral en otros procesos Se inyecta como un hilo de ejecucin remoto en un proceso.

Se inserta en todos los procesos.


 Informaciones diversas Accede a recursos de Internet:
   • http://api.wip**********.com


Objeto mutex:
Crea los siguientes objetos mutex:
   • OgarD-Mutex
   • aciCty21CAjoSS8o

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el jueves 2 de junio de 2011
Descripción actualizada por Petre Galan el jueves 2 de junio de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.