Nome del virus:TR/Kryptik.FU
Scoperto:01/09/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:98.304 Byte
Somma di controllo MD5:d2f7cb6da675a38bfa963c023a732b1f
Versione IVDF:7.10.11.70 - giovedì 2 settembre 2010

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: W32.Yimfoca
   •  Kaspersky: IM-Worm.Win32.Yahos.ci
   •  Microsoft: Trojan:Win32/Ircbrute
   •  Panda: W32/MSNworm.JB.worm
   •  PCTools: Malware.Yimfoca
   •  VirusBuster: Trojan.Ircbrute.BLB
   •  Eset: IRC/SdBot.AVU
   •  Sunbelt: Trojan.Win32.Ircbrute
   •  AhnLab: Malware/Win32.Yimfoca
   •  DrWeb: BackDoor.Siggen.25869
   •  Fortinet: W32/SDBot.30ED!tr
   •  Ikarus: Trojan.Win32.Ircbrute
   •  Norman: W32/Ircbrute.AR


Piattaforme / Sistemi operativi:
   • Windows XP


Effetti secondari:
   • Duplica file
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %WINDIR%\jusched.exe
   • %WINDIR%\jusched.exg



Cancella il seguente file:
   • %WINDIR%\jusched.exg

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "c:\\%directory corrente%\\%file eseguiti%
      "="%WINDIR%\jusched.exe:*:Enabled:Java developer Script Browse"

Descrizione inserita da Christoph Baumann su lunedì 6 settembre 2010
Descrizione aggiornata da Christoph Baumann su lunedì 6 settembre 2010

Indietro . . . .