Active Scan. Analiza Gratis tu PC
Download Cloud Antivirus Gratis

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Oscarbot.YQ

PeligrosidadPeligrosidad bajaDañoDañinoPropagaciónPoco extendido

Efectos 

Oscarbot.YQ muestra molestos mensajes cuando el usuario está navegando con Internet Explorer, con el objetivo de que accedan a páginas web en las que les ofrecen diferentes servicios de pago. Aunque el usuario consiga cerrar estos mensajes, volverán a mostrase más adelante.

Oscarbot.YQ realiza las siguientes acciones:

  • Llega al ordenador en un archivo con el nombre imagFaceBook haciéndose pasar por una imagen cuando en realidad es un archivo ejecutable:

    Archivo en el que llega Oscarbot.YQ
  • Cuando es ejecutado, se abre el navegador de Internet Explorer y se muestra la página legítima de myspace con el objetivo de despistar al usuario:

    Página legítima de myspace
  • Si el usuario intenta cerrar el navegador o abrir una nueva página web, se mostrará un mensaje como el siguiente:

    Mensaje mostrado por Oscarbot.YQ
  • En el mensaje se le solicita al usuario que realice una encuesta para poder acceder a cierto contenido.
  • Si el usuario pulsa el botón Aceptar, sucederá lo que el usuario ha solicitado previamente, bien cerrar el navegador o bien abrir una página web.
  • Si el usuario pulsa el botón Cancelar, estará aceptando la encuesta y se mostrará un mensaje como el siguiente:

    Encuesta mostrada por Oscarbot.YQ
  • Cada opción apunta a una página web diferente en función de lo que haya seleccionado el usuario, como se puede ver en la siguiente imagen:

    Páginas web a las que apuntan las diferentes opciones de la encuesta
  • Si el usuario pulsa alguno de estos enlaces, será redirigido a páginas web en los que se ofertan diferentes servicios de pago.
  • Si, por el contrario, no pulsa ningún enlace, se mostrará el siguiente mensaje:

    Mensaje mostrado si no se selecciona ninguna opción
  • Cuando el usuario accede a algunas páginas web, como por ejemplo la de Facebook, se muestra un mensaje como el siguiente:

    Mensaje mostrado en la página de Facebook
  • Además, realiza estas otras acciones:
    - Se añade a la lista de aplicaciones autorizadas por el cortafuegos de Windows para evitar ser bloqueado.
    - Detiene el servicio de Windows Update para que no se descarguen las actualizaciones automáticas de Windows.
    - Deja un puerto abierto con conexión a cierto sitio web para poder recibir comandos.

Metodo de Infección 

Oscarbot.YQ crea los siguientes archivos en el directorio de Windows:

  • JUSCHED.EXE, que es una copia del gusano.
  • MDLL.DL. Se trata de un archivo de datos que contiene información sobre las páginas web a las que se conecta.
  • WINTYBRD.PNG y WINTYBRDF.JPG, que corresponden a las mensajes de Human Confirmation! mostrados por el gusano.

 

Oscarbot.YQ crea las siguientes entradas en el Registro de Windows:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    Java developer Script Browse = %windir%\jusched.exe

    donde %windir% es el directorio de Windows.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Java developer Script Browse = %windir%\jusched.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
    Java developer Script Browse = %windir%\jusched.exe

    Mediante estas entradas, Oscarbot.YQ consigue ejecutarse cada vez que Windows se inicia.
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplications\ List
    %ruta%\imagFaceBook.exe = %windir%\jusched.exe:*:Enabled:Java developer Script Browse
    donde %ruta% corresponde a la ruta en la que el usuario ha ejecutado el archivo original.
    Mediante esta entrada se añade a la lista de aplicaciones autorizadas por el cortafuegos de Windows para evitar ser bloqueado.

Método de Propagación 

Oscarbot.YQ se propaga enviando mensajes que llevan a la descarga del gusano a través de programas de mensajería instantánea como el Yahoo! Messenger y a través del Skype.

Otros Detalles  

Oscarbot.YQ tiene un tamaño de 86016 Bytes.