Oscarbot.YQ
PeligrosidadDañoPropagación

Efectos 

Oscarbot.YQ muestra molestos mensajes cuando el usuario está navegando con Internet Explorer, con el objetivo de que accedan a páginas web en las que les ofrecen diferentes servicios de pago. Aunque el usuario consiga cerrar estos mensajes, volverán a mostrase más adelante.

Oscarbot.YQ realiza las siguientes acciones:

• Llega al ordenador en un archivo con el nombre imagFaceBook haciéndose pasar por una imagen cuando en realidad es un archivo ejecutable:
  
  
• Cuando es ejecutado, se abre el navegador de Internet Explorer y se muestra la página legítima de myspace con el objetivo de despistar al usuario:
  
  
• Si el usuario intenta cerrar el navegador o abrir una nueva página web, se mostrará un mensaje como el siguiente:
  
  
• En el mensaje se le solicita al usuario que realice una encuesta para poder acceder a cierto contenido.
• Si el usuario pulsa el botón Aceptar, sucederá lo que el usuario ha solicitado previamente, bien cerrar el navegador o bien abrir una página web.
• Si el usuario pulsa el botón Cancelar, estará aceptando la encuesta y se mostrará un mensaje como el siguiente:
  
  
• Cada opción apunta a una página web diferente en función de lo que haya seleccionado el usuario, como se puede ver en la siguiente imagen:
  
  
• Si el usuario pulsa alguno de estos enlaces, será redirigido a páginas web en los que se ofertan diferentes servicios de pago.
• Si, por el contrario, no pulsa ningún enlace, se mostrará el siguiente mensaje:
  
  
• Cuando el usuario accede a algunas páginas web, como por ejemplo la de Facebook, se muestra un mensaje como el siguiente:
  
  
• Además, realiza estas otras acciones:
  - Se añade a la lista de aplicaciones autorizadas por el cortafuegos de Windows para evitar ser bloqueado.
  - Detiene el servicio de Windows Update para que no se descarguen las actualizaciones automáticas de Windows.
  - Deja un puerto abierto con conexión a cierto sitio web para poder recibir comandos.

Metodo de Infección 

Oscarbot.YQ crea los siguientes archivos en el directorio de Windows:

• JUSCHED.EXE, que es una copia del gusano.
• MDLL.DL. Se trata de un archivo de datos que contiene información sobre las páginas web a las que se conecta.
• WINTYBRD.PNG y WINTYBRDF.JPG, que corresponden a las mensajes de Human Confirmation! mostrados por el gusano.

Oscarbot.YQ crea las siguientes entradas en el Registro de Windows:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  Java developer Script Browse = %windir%\jusched.exe
  donde %windir% es el directorio de Windows.
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  Java developer Script Browse = %windir%\jusched.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
  Java developer Script Browse = %windir%\jusched.exe
  Mediante estas entradas, Oscarbot.YQ consigue ejecutarse cada vez que Windows se inicia.
• HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplications\ List
  %ruta%\imagFaceBook.exe = %windir%\jusched.exe:*:Enabled:Java developer Script Browse
  donde %ruta% corresponde a la ruta en la que el usuario ha ejecutado el archivo original.
  Mediante esta entrada se añade a la lista de aplicaciones autorizadas por el cortafuegos de Windows para evitar ser bloqueado.

Método de Propagación 

Oscarbot.YQ se propaga enviando mensajes que llevan a la descarga del gusano a través de programas de mensajería instantánea como el Yahoo! Messenger y a través del Skype.

Otros Detalles  

Oscarbot.YQ tiene un tamaño de 86016 Bytes.