Active Scan. Analiza Gratis tu PC
Panda Premium Assistance

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Oscarbot.YQ

PeligrosidadPeligrosidad bajaDañoDañinoPropagaciónPoco extendido

Efectos 

Oscarbot.YQ muestra molestos mensajes cuando el usuario está navegando con Internet Explorer, con el objetivo de que accedan a páginas web en las que les ofrecen diferentes servicios de pago. Aunque el usuario consiga cerrar estos mensajes, volverán a mostrase más adelante.

Oscarbot.YQ realiza las siguientes acciones:

  • Llega al ordenador en un archivo con el nombre imagFaceBook haciéndose pasar por una imagen cuando en realidad es un archivo ejecutable:

    Archivo en el que llega Oscarbot.YQ
  • Cuando es ejecutado, se abre el navegador de Internet Explorer y se muestra la página legítima de myspace con el objetivo de despistar al usuario:

    Página legítima de myspace
  • Si el usuario intenta cerrar el navegador o abrir una nueva página web, se mostrará un mensaje como el siguiente:

    Mensaje mostrado por Oscarbot.YQ
  • En el mensaje se le solicita al usuario que realice una encuesta para poder acceder a cierto contenido.
  • Si el usuario pulsa el botón Aceptar, sucederá lo que el usuario ha solicitado previamente, bien cerrar el navegador o bien abrir una página web.
  • Si el usuario pulsa el botón Cancelar, estará aceptando la encuesta y se mostrará un mensaje como el siguiente:

    Encuesta mostrada por Oscarbot.YQ
  • Cada opción apunta a una página web diferente en función de lo que haya seleccionado el usuario, como se puede ver en la siguiente imagen:

    Páginas web a las que apuntan las diferentes opciones de la encuesta
  • Si el usuario pulsa alguno de estos enlaces, será redirigido a páginas web en los que se ofertan diferentes servicios de pago.
  • Si, por el contrario, no pulsa ningún enlace, se mostrará el siguiente mensaje:

    Mensaje mostrado si no se selecciona ninguna opción
  • Cuando el usuario accede a algunas páginas web, como por ejemplo la de Facebook, se muestra un mensaje como el siguiente:

    Mensaje mostrado en la página de Facebook
  • Además, realiza estas otras acciones:
    - Se añade a la lista de aplicaciones autorizadas por el cortafuegos de Windows para evitar ser bloqueado.
    - Detiene el servicio de Windows Update para que no se descarguen las actualizaciones automáticas de Windows.
    - Deja un puerto abierto con conexión a cierto sitio web para poder recibir comandos.

Metodo de Infección 

Oscarbot.YQ crea los siguientes archivos en el directorio de Windows:

  • JUSCHED.EXE, que es una copia del gusano.
  • MDLL.DL. Se trata de un archivo de datos que contiene información sobre las páginas web a las que se conecta.
  • WINTYBRD.PNG y WINTYBRDF.JPG, que corresponden a las mensajes de Human Confirmation! mostrados por el gusano.

 

Oscarbot.YQ crea las siguientes entradas en el Registro de Windows:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    Java developer Script Browse = %windir%\jusched.exe

    donde %windir% es el directorio de Windows.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Java developer Script Browse = %windir%\jusched.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
    Java developer Script Browse = %windir%\jusched.exe

    Mediante estas entradas, Oscarbot.YQ consigue ejecutarse cada vez que Windows se inicia.
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplications\ List
    %ruta%\imagFaceBook.exe = %windir%\jusched.exe:*:Enabled:Java developer Script Browse
    donde %ruta% corresponde a la ruta en la que el usuario ha ejecutado el archivo original.
    Mediante esta entrada se añade a la lista de aplicaciones autorizadas por el cortafuegos de Windows para evitar ser bloqueado.

Método de Propagación 

Oscarbot.YQ se propaga enviando mensajes que llevan a la descarga del gusano a través de programas de mensajería instantánea como el Yahoo! Messenger y a través del Skype.

Otros Detalles  

Oscarbot.YQ tiene un tamaño de 86016 Bytes.

Soporte técnico

Accesos rápidos

Panda Quick Start

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Panda Desinfección Remota

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info

Panda Optimización Remota

Panda Optimización Remota

Nuestros técnicos revisan tu PC y lo dejan funcionando en óptimas condiciones, como el primer día.
[+] info