Análisis realizado por : Cris Nowell Pantanilla   
 Alias

Trojan.Win32.FakeAV.cvmr [Kaspersky] Rogue:Win32/FakeRean [Microsoft]

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Trojan

  • Destructivo?
    No

  • Cifrado

  • In the Wild:

  Resumen y descripción

Modifica determinadas entradas de registro para desactivar las funciones del Centro de seguridad. Esto permite que el malware ejecute sus rutinas sin ser detectado.

Este malware muestra alertas falsas que advierten a los usuarios de una infección. También muestra resultados de exploración falsos del sistema afectado. A continuación pide a los usuarios que lo adquieran una vez haya finalizado la exploración. Si los usuarios deciden adquirir el producto, aparecerá un sitio Web en el que se les pedirá información confidencial, como su número de tarjeta de crédito.

  Detalles técnicos

Tamaño del archivo 238,949 bytes
Tipo de archivo EXE
Residente en memoria
Fecha de recepción de las muestras iniciales 03 mayo 2011
Carga útil Displays fake alerts, , Connects to URLs/Ips

Instalación

Infiltra los archivos siguientes:

  • %Root%\Documents and Settings\All Users\Application Data\2q7661e0ieqeq22yg12g
  • %User Profile%\Local Settings\Application Data\2q7661e0ieqeq22yg12g
  • %User Profile%\Local Settings\Temp\2q7661e0ieqeq22yg12g
  • %User Profile%\Templates\2q7661e0ieqeq22yg12g

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %User Profile%\Local Settings\Application Data\mcc.exe

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CLASSES_ROOT\.exe\shell

HKEY_CLASSES_ROOT\.exe\shell\
runas

HKEY_CLASSES_ROOT\exefile\shell\
open\command
IsolatedCommand = "%1" %*

HKEY_CLASSES_ROOT\exefile\shell\
runas\command
IsolatedCommand = "%1" %*

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
EnableFirewall = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DoNotAllowExceptions = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DisableNotifications = 1

Modifica las siguientes entradas de registro:

HKEY_CLASSES_ROOT\exefile\shell\
open\command
(Default) = %User Profile%\Local Settings\Application Data\mcc.exe" -a "%1" %*

(Note: The default value data of the said registry entry is "%1" %*.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
open\command
(Default) = "%User Profile%\Local Settings\Application Data\mcc.exe" -a "%Program Files%\Mozilla Firefox\firefox.exe"

(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
safemode\command
(Default) = "%User Profile%\Local Settings\Application Data\mcc.exe" -a "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode

(Note: The default value data of the said registry entry is "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
(Default) = "%User Profile%\Local Settings\Application Data\mcc.exe" -a "%Program Files%\Internet Explorer\iexplore.exe"

(Note: The default value data of the said registry entry is "%Program Files%\Internet Explorer\iexplore.exe".)

Modifica las siguientes entradas de registro para desactivar las funciones del Centro de seguridad:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = 1

(Note: The default value data of the said registry entry is 0.)

Elimina las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv

Rutina de antivirus falso

Este malware muestra alertas falsas que advierten a los usuarios de una infección. También muestra resultados de exploración falsos del sistema afectado. A continuación pide a los usuarios que lo adquieran una vez haya finalizado la exploración. Si los usuarios deciden adquirir el producto, aparecerá un sitio Web en el que se les pedirá información confidencial, como su número de tarjeta de crédito.