TROJ_FAKEAV.HPJ

Se conecta a determinadas URL. Uno de los objetivos para ello puede ser informar remotamente de su instalación a un usuario malicioso. También puede hacerlo para descargar archivos maliciosos en el equipo, lo que aumentaría su riesgo de infección por parte de otras amenazas.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %System Root%\Documents And Settings\All Users\Application Data\{Random Name}.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Infiltra los archivos siguientes:

• %Desktop%\Data_Recovery.lnk
• %Start Menu%\Programs\Data Recovery\Data Recovery.lnk
• %Start Menu%\Programs\Data Recovery\Uninstall Data Recovery.lnk
• %System Root%\Documents And Settings\All Users\Application Data\{Random Name}
• %System Root%\Documents And Settings\All Users\Application Data\-{Random Name}
• %System Root%\Documents And Settings\All Users\Application Data\-{Random Name}r
• %User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Data_Recovery.lnk

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

Crea las carpetas siguientes:

• %Start Menu%\Programs\Data Recovery

(Nota: %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments

HKEY_LOCAL_MACHINE\Software\Microsoft\
ESENT\Process\{Random Name}

HKEY_LOCAL_MACHINE\Software\Microsoft\
ESENT\Process\{Random Name}\
DEBUG

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnZoneCrossing = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnonBadCertRecving = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
CertificateRevocation = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Use FormSuggest = "Yes"

HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Policies\Associations
LowRiskFileTypes = ".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = "1"

HKEY_LOCAL_MACHINE\Software\Microsoft\
ESENT\Process\{Random Name}\
DEBUG
Trace Level = ""

Modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
CheckExeSignatures = "No"

(Note: The default value data of the said registry entry is Yes.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1601 = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\WinTrust\
Trust Providers\Software Publishing
State = "23e00"

(Note: The default value data of the said registry entry is 23c00.)

Rutina de descarga

Se conecta a las siguientes URL maliciosas:

• http://{BLOCKED}stgolfc.com.com/support/s
• http://{BLOCKED}sard.com.com/support/s
• http://{BLOCKED}elar.com.com/support/s
• http://{BLOCKED}uinesc.com/support/s
• http://{BLOCKED}fite.com/support/s