Análisis realizado por : Erika Bianca Mendoza   

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Trojan

  • Destructivo?
    No

  • Cifrado
    No

  • In the Wild:

  Resumen y descripción

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Instala software antivirus/antispyware falso. Este malware muestra alertas falsas que advierten a los usuarios de una infección. También muestra resultados de exploración falsos del sistema afectado. A continuación pide a los usuarios que lo adquieran una vez haya finalizado la exploración. Si los usuarios deciden adquirir el producto, aparecerá un sitio Web en el que se les pedirá información confidencial, como su número de tarjeta de crédito.

  Detalles técnicos

Tamaño del archivo 236,532 bytes
Tipo de archivo EXE
Residente en memoria
Fecha de recepción de las muestras iniciales 28 abril 2011

Detalles de entrada

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Instalación

Este malware infiltra los siguientes archivos no maliciosos:

  • %Documents and Settings%\All Users\Application Data\{random}
  • %UserProfile%\Templates\{random}

Otras modificaciones del sistema

Agrega las siguientes claves de registro como parte de la rutina de instalación:

HKEY_CLASSES_ROOT\exefile\shell\
open\command
Default = {malware path and filename} -a "%1" %*

(Note: The default value data of the said registry entry is "%1" %*.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
Default = {malware path and filename} -a "C:\Program Files\Intern

(Note: The default value data of the said registry entry is Internet Explorer.)

Este malware también crea la(s) siguiente(s) entrada(s) de registro como parte de la rutina de instalación:

HKEY_CLASSES_ROOT\.exe\shell\
open\command
Default = ""{malware path and filename}" -a "%1" %*"

HKEY_CURRENT_USER\Software\Classes\
.exe
Default = exefile

HKEY_CLASSES_ROOT\.exe\DefaultIcon
Default = %1

HKEY_CLASSES_ROOT\.exe\shell\
open\command
IsolatedCommand = "%1" %*

HKEY_CLASSES_ROOT\.exe\shell\
runas\command
default = "%1" %*

HKEY_CLASSES_ROOT\.exe\shell\
runas\command
IsolatedCommand = "%1" %*

HKEY_CLASSES_ROOT\exefile
Content Type = application/x-msdownload

HKEY_CLASSES_ROOT\exefile\shell\
open\command
IsolatedCommand = "%1" %*

HKEY_CLASSES_ROOT\exefile\shell\
runas\command
IsolatedCommand = "%1" %*

HKEY_CURRENT_USER\Software\Classes\
.exe
Content Type = application/x-msdownload

HKEY_CURRENT_USER\Software\Classes\
.exe\DefaultIcon
Default = %1

HKEY_CURRENT_USER\Software\Classes\
.exe\shell\open\
command
Default = {malware path and filename} -a "%1" %*

HKEY_CURRENT_USER\Software\Classes\
.exe\shell\open\
command
IsolatedCommand = "%1" %*

HKEY_CURRENT_USER\Software\Classes\
.exe\shell\runas\
command
Default = "%1" %*

HKEY_CURRENT_USER\Software\Classes\
.exe\shell\runas\
command
IsolatedCommand = "%1" %*

HKEY_CURRENT_USER\Software\Classes\
exefile
Default = Application

HKEY_CURRENT_USER\Software\Classes\
exefile
Content Type = application/x-msdownload

HKEY_CURRENT_USER\Software\Classes\
exefile\DefaultIcon
Default = %1

HKEY_CURRENT_USER\Software\Classes\
exefile\shell\open\
command
Default = {malware path and filename} -a "%1" %*

HKEY_CURRENT_USER\Software\Classes\
exefile\shell\open\
command
IsolatedCommand = "%1" %*

HKEY_CURRENT_USER\Software\Classes\
exefile\shell\runas\
command
Default = "%1" %*

HKEY_CURRENT_USER\Software\Classes\
exefile\shell\runas\
command
IsolatedCommand = "%1" %*

Rutina de antivirus falso

Instala software antivirus/antispyware falso.

Este malware muestra alertas falsas que advierten a los usuarios de una infección. También muestra resultados de exploración falsos del sistema afectado. A continuación pide a los usuarios que lo adquieran una vez haya finalizado la exploración. Si los usuarios deciden adquirir el producto, aparecerá un sitio Web en el que se les pedirá información confidencial, como su número de tarjeta de crédito.