VírusTR/Kryptik.FU
Data em que surgiu:01/09/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:98.304 Bytes
MD5 checksum:d2f7cb6da675a38bfa963c023a732b1f
Versão IVDF:7.10.11.70 - quinta-feira, 2 de setembro de 2010

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: W32.Yimfoca
   •  Kaspersky: IM-Worm.Win32.Yahos.ci
   •  Microsoft: Trojan:Win32/Ircbrute
   •  Panda: W32/MSNworm.JB.worm
   •  PCTools: Malware.Yimfoca
   •  VirusBuster: Trojan.Ircbrute.BLB
   •  Eset: IRC/SdBot.AVU
   •  Sunbelt: Trojan.Win32.Ircbrute
   •  AhnLab: Malware/Win32.Yimfoca
   •  DrWeb: BackDoor.Siggen.25869
   •  Fortinet: W32/SDBot.30ED!tr
   •  Ikarus: Trojan.Win32.Ircbrute
   •  Norman: W32/Ircbrute.AR


Sistemas Operativos:
   • Windows XP


Efeitos secundários:
   • Descarrega ficheiros
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\jusched.exe
   • %WINDIR%\jusched.exg



Elimina o seguinte ficheiro:
   • %WINDIR%\jusched.exg

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "c:\\\\%ficheiro executado%
      "="%WINDIR%\jusched.exe:*:Enabled:Java developer Script Browse"

Descrição enviada por Christoph Baumann em segunda-feira, 6 de setembro de 2010
Descrição atualizada por Christoph Baumann em segunda-feira, 6 de setembro de 2010

Voltar . . . .