¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Yimfoca.A.38
Descubierto:18/05/2011
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:46.592 Bytes
Suma de control MD5:bc9ef86be61af1a78e4af6f95cf4b82e
Versin del VDF:7.11.08.60 - miércoles 18 de mayo de 2011
Versin del IVDF:7.11.08.60 - miércoles 18 de mayo de 2011

 General Mtodo de propagacin:
    Messenger


Alias:
   •  Kaspersky: Trojan.Win32.Buzus.hgrb
   •  F-Secure: Trojan.Win32.Buzus.hgrb
   •  Bitdefender: Trojan.Generic.5748790
     GData: Trojan.Generic.5748790
     DrWeb: Trojan.DownLoader2.61692


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Suelta ficheros dainos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %WINDIR%\nvsvc32.exe




Intenta ejecutar los ficheros siguientes:

Ejecuta uno de los ficheros siguientes:
   • netsh firewall add allowedprogram 1.exe 1 ENABLE


Ejecuta uno de los ficheros siguientes:
   • %WINDIR%\nvsvc32.exe


Ejecuta uno de los ficheros siguientes:
   • explorer.exe http://browseusers.myspace.com/Browse/Browse.aspx


Ejecuta uno de los ficheros siguientes:
   • net stop wuauserv


Ejecuta uno de los ficheros siguientes:
   • net stop MsMpSvc


Ejecuta uno de los ficheros siguientes:
   • sc config wuauserv start= disabled


Ejecuta uno de los ficheros siguientes:
   • sc config MsMpSvc start= disabled


Ejecuta uno de los ficheros siguientes:
   • net1 stop wuauserv


Ejecuta uno de los ficheros siguientes:
   • net1 stop MsMpSvc

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%ficheros ejecutados%"="%WINDIR%\nvsvc32.exe:*:Enabled:NVIDIA
      driver monitor"

 Messenger Se propaga por Messenger. Sus caractersticas estn descritas a continuacin:

 Windows Messenger
 Yahoo Messenger

La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infeccin volver a iniciarse.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: 75.102.**********.40
Puerto: 1866
Canal: #!high!
Apodo: NEW-[USA|00|P|%nmero%]

 Inyectar el cdigo viral en otros procesos  Inyecta en otro proceso una rutina de monitorizacin de procesos.

    Nombre del proceso:
   • explorer.exe


 Informaciones diversas Accede a recursos de Internet:
   • http://browseusers.myspace.com/Browse/**********
   • http://www.facebook.com


Objeto mutex:
Crea el siguiente objeto mutex:
   • Nvidia Drive Mon

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el martes 28 de junio de 2011
Descripción actualizada por Petre Galan el martes 28 de junio de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.