PE_SALITY.EK-O

Utiliza el icono predeterminado de la carpeta de Windows para engañar a los usuarios e incitarles a abrirla. Si hace doble clic en el archivo se ejecutará este malware.

Agrega determinadas entradas de registro para desactivar el Administrador de tareas. Esta acción impide que el usuario lleve a cabo la cancelación del proceso de malware, la cual suele realizarse a través del Administrador de tareas.

Infiltra copias de sí mismo en todas las unidades extraíbles conectadas a un sistema afectado.

Este malware modifica la configuración de zona de Internet Explorer.

Instalación

Utiliza el icono predeterminado de la carpeta de Windows para engañar a los usuarios e incitarles a abrirla. Si hace doble clic en el archivo se ejecutará este malware.

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• Op1mutx9
• {Process Name}M_{Random Number}_ - Mutex is terminated immediately

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Chosen Program} = "{Path of Infected File}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Chosen Program} = "{Path of Infected File}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe {Infected File}.exe"

Agrega las siguientes entradas y líneas al archivo WIN.INI para permitir su ejecución automática cada vez que se inicia el sistema:

• [Autorun]
• Open={Infected File}.exe
• Shellexecute={Infected File}.exe
• Shell\Open\command={Infected File}.exe
• Shell=Open

Otras modificaciones del sistema

Este malware agrega la(s) siguiente(s) línea(s)/entrada(s) al archivo SYSTEM.INI:

• [MCIDRV_VER]
• DEVICEMB={Random Numbers}

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
WorkgroupCrawler\Shares
shared = "{Path of Malware Copy}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NofolderOptions = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

HKEY_LOCAL_MACHINE\SYSTEM\{Current Control Set}\
Services\Schedule
AtTaskMaxHours = "0"

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\{Username}914
{%1st Letter of Username%}{Num}_{Num} = "{DWORD}"

HKEY_CURRENT_USER\Software\{Username}914\
{Random Numbers}
{Random Numbers} = {Random Characters}

Agrega las siguientes entradas de registro para desactivar el Administrador de tareas:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "0"

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\{Current Control Set}\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{Original Malware File Path} = "{Original Malware File Path}:*:Enabled:ipsec"

Infección de archivo

Infecta los siguientes tipos de archivo:

• .EXE
• .SCR

Propagación

Infiltra copias de sí mismo en todas las unidades extraíbles conectadas a un sistema afectado.

Finalización del proceso

Finaliza procesos o servicios que contienen una de las cadenas siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• _AVPM.
• A2GUARD.
• AAVSHIELD.
• ADVCHK.
• AHNSD.
• AIRDEFENSE
• ALERTSVC
• ALMON.
• ALOGSERV
• ALSVC.
• AMON.
• ANTI-TROJAN.
• ANTIVIR
• ANTS.
• APVXDWIN.
• ARMOR2NET.
• ASHAVAST.
• ASHDISP.
• ASHENHCD.
• ASHMAISV.
• ASHPOPWZ.
• ASHSERV.
• ASHSIMPL.
• ASHSKPCK.
• ASHWEBSV.
• ASWUPDSV.
• ATCON.
• ATUPDATER.
• ATWATCH.
• AUPDATE.
• AUTODOWN.
• AUTOTRACE.
• AUTOUPDATE.
• AVAST
• AVAST
• AVAST
• AVCIMAN.
• AVCONSOL.
• AVENGINE.
• AVGAMSVR.
• AVGCC.
• AVGCC32.
• AVGCTRL.
• AVGEMC.
• AVGFWSRV.
• AVGNT.
• AVGNTDD
• AVGNTMGR
• AVGSERV.
• AVGUARD.
• AVGUPSVC.
• AVINITNT.
• AVKSERV.
• AVKSERVICE.
• AVKWCTL.
• AVP32.
• AVPCC.
• AVPM.
• AVSCHED32.
• AVSYNMGR.
• AVWUPD32.
• AVWUPSRV.
• AVXMONITOR9X.
• AVXMONITORNT.
• AVXQUAR.
• BACKWEB-4476822.
• BDMCON.
• BDNEWS.
• BDOESRV.
• BDSS.
• BDSUBMIT.
• BDSWITCH.
• BLACKD.
• BLACKICE.
• CAFIX.
• CCAPP.
• CCEVTMGR.
• CCPROXY.
• CCSETMGR.
• CFIAUDIT.
• CLAMTRAY.
• CLAMWIN.
• CLAW95.
• CLAW95CF.
• CLEANER.
• CLEANER3.
• CLISVC.
• CMGRDIAN.
• CUREIT
• CUREIT.
• DEFWATCH.
• DOORS.
• DRVIRUS.
• DRWADINS.
• DRWEB32W.
• DRWEBSCD.
• DRWEBUPW.
• ESCANH95.
• ESCANHNT.
• EWIDOCTRL.
• EZANTIVIRUSREGISTRATIONCHECK.
• F-AGNT95.
• F-PROT95.
• F-SCHED.
• F-STOPW.
• FAMEH32.
• FAST.
• FCH32.
• FILEMON
• FIRESVC.
• FIRETRAY.
• FIREWALL.
• FPAVUPDM.
• FRESHCLAM.
• FSAV32.
• FSAVGUI.
• FSBWSYS.
• FSDFWD.
• FSGK32.
• FSGK32ST.
• FSGUIEXE.
• FSM32.
• FSMA32.
• FSMB32.
• FSPEX.
• FSSM32.
• GCASDTSERV.
• GCASSERV.
• GIANTANTISPYWAREMAIN.
• GIANTANTISPYWAREUPDATER.
• GUARDGUI.
• GUARDNT.
• HREGMON.
• HRRES.
• HSOCKPE.
• HUPDATE.
• IAMAPP.
• IAMSERV.
• ICLOAD95.
• ICLOADNT.
• ICMON.
• ICSSUPPNT.
• ICSUPP95.
• ICSUPPNT.
• IFACE.
• INETUPD.
• INOCIT.
• INORPC.
• INORT.
• INOTASK.
• INOUPTNG.
• IOMON98.
• ISAFE.
• ISATRAY.
• ISRV95.
• ISSVC.
• KAVMM.
• KAVPF.
• KAVPFW.
• KAVSTART.
• KAVSVC.
• KAVSVCUI.
• KMAILMON.
• KPFWSVC.
• KWATCH.
• LOCKDOWN2000.
• LOGWATNT.
• LUALL.
• LUCOMSERVER.
• LUUPDATE.
• MCAGENT.
• MCMNHDLR.
• MCREGWIZ.
• MCUPDATE.
• MCVSSHLD.
• MINILOG.
• MYAGTSVC.
• MYAGTTRY.
• NAVAPSVC.
• NAVAPW32.
• NAVLU32.
• NAVW32.
• NEOWATCHLOG.
• NEOWATCHTRAY.
• NISSERV
• NISUM.
• NMAIN.
• NOD32
• NOD32.
• NORMIST.
• NOTSTART.
• NPAVTRAY.
• NPFMNTOR.
• NPFMSG.
• NPROTECT.
• NSCHED32.
• NSMDTR.
• NSSSERV.
• NSSTRAY.
• NTRTSCAN.
• NTXCONFIG.
• NUPGRADE.
• NVC95.
• NVCOD.
• NVCTE.
• NVCUT.
• NWSERVICE.
• OFCPFWSVC.
• OUTPOST.
• PAVFIRES.
• PAVFNSVR.
• PAVKRE.
• PAVPROT.
• PAVPROXY.
• PAVPRSRV.
• PAVSRV51.
• PAVSS.
• PCCGUIDE.
• PCCIOMON.
• PCCNTMON.
• PCCPFW.
• PCCTLCOM.
• PCTAV.
• PERSFW.
• PERTSK.
• PERVAC.
• PNMSRV.
• POP3TRAP.
• POPROXY.
• PREVSRV.
• PSIMSVC.
• QHM32.
• QHONLINE.
• QHONSVC.
• QHPF.
• QHWSCSVC.
• RAVMON.
• RAVTIMER.
• REALMON.
• REALMON95.
• RFWMAIN.
• RTVSCAN.
• RTVSCN95.
• RULAUNCH.
• SAVADMINSERVICE.
• SAVMAIN.
• SAVPROGRESS.
• SAVSCAN.
• SCAN32.
• SCANNINGPROCESS.
• SDHELP.
• SHSTAT.
• SITECLI.
• SPBBCSVC.
• SPHINX.
• SPIDERML.
• SPIDERNT.
• SPIDERUI.
• SPYBOTSD.
• SPYXX.
• SS3EDIT.
• STOPSIGNAV.
• SWAGENT.
• SWDOCTOR.
• SWNETSUP.
• SYMLCSVC.
• SYMPROXYSVC.
• SYMSPORT.
• SYMWSC.
• SYNMGR.
• TAUMON.
• TBMON.
• TDS-3.
• TEATIMER.
• TFAK.
• THAV.
• THSM.
• TMAS.
• TMLISTEN.
• TMNTSRV.
• TMPFW.
• TMPROXY.
• TNBUTIL.
• TRJSCAN.
• UP2DATE.
• VBA32ECM.
• VBA32IFS.
• VBA32LDR.
• VBA32PP3.
• VBSNTW.
• VCHK.
• VCRMON.
• VETTRAY.
• VIRUSKEEPER.
• VPTRAY.
• VRFWSVC.
• VRMONNT.
• VRMONSVC.
• VRRW32.
• VSECOMR.
• VSHWIN32.
• VSMON.
• VSSERV.
• VSSTAT.
• WATCHDOG.
• WEBPROXY.
• WEBSCANX.
• WEBTRAP.
• WGFE95.
• WINAW32.
• WINROUTE.
• WINSS.
• WINSSNOTIFY.
• WRADMIN.
• WRCTRL.
• XCOMMSVR.
• ZATUTOR.
• ZAUINST.
• ZLCLIENT.
• ZONEALARM.

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Este malware modifica la configuración de zona de Internet Explorer.