14/08/2006 - El gusano ha sido detectado el 13/08/2006. Las principales características del mismo son:
- Nombre del fichero: wgareg.exe o wgavm.exe.
- Tamaño de 9.609 bytes (wgareg.exe) ó 9.374 bytes (wgavm.exe).
- Empaquetado con Mew y encriptado con máscara XOR de un byte.
Se propaga mediante unidades compartidas, programas de mensajería instantánea y vulnerabilidades.
Crea un servicio de nombre wgareg que pretende simular un servicio de autenticación de software genuino de Windows, "Windows Genuine Advantage Registration Service". Una vez ejecutado se queda a la escucha de mensajes de IRC con comandos de control.
PandaLabs ha detectado ya varias incidencias causadas por Oscarbot.KD y advierte de la peligrosidad de este gusano, ya que una gran cantidad de usuarios aún no han instalado el parche de seguridad para la vulnerabilidad que emplea. Las Tecnologías TruPrevent(TM) lo han detectado desde el primer momento.