TROJ_FAKEAV.DC
Trojan:Win32/FakeSysdef (Microsoft), Trojan.FakeAV (Norton)
Windows 2000, Windows XP, Windows Server 2003
Tipo di minaccia informatica:
Trojan
Distruttivo?:
No
Crittografato?:
In the wild::
Sì
Panoramica e descrizione
Se ejecuta y, a continuación, se elimina.
Este malware modifica la configuración de zona de Internet Explorer.
Dettagli tecnici
Instalación
Este malware infiltra el/los siguiente(s) archivo(s):
- %System Root%\Documents and Settings\All Users\Application Data\{random file name}
- %User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\File_Recovery.lnk or %User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\File_Restore.lnk
- %Desktop%\File_Recovery.lnk or %Desktop%\File_Restore.lnk
- %Start Menu%\Programs\File Recovery\File Recovery.lnk or %Start Menu%\Programs\File Restore\File Restore.lnk
- %Start Menu%\Programs\File Recovery\Uninstall File Recovery.lnk or %Start Menu%\Programs\File Restore\Uninstall File Restore.lnk
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).. %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).. %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).)Crea las siguientes copias de sí mismo en el sistema afectado:
- %System Root%\Documents and Settings\All Users\Application Data\{random file name}.exe
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Crea las carpetas siguientes:
- %Start Menu%\Programs\File Recovery or %Start Menu%\Programs\File Restore
(Nota: %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).
)Se ejecuta y, a continuación, se elimina.
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = "%System Root%\Documents and Settings\All Users\Application Data\{malware file name}.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
ESENT\Process\{malware file name}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
ESENT\Process\{malware file name}\
DEBUG
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Use FormSuggest = "Yes"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
LowRiskFileTypes = ".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
ESENT\Process\{malware file name}\
DEBUG
Trace Level = ""
Modifica las siguientes claves de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
CheckExeSignatures = "yes"
(Note: The default value data of the said registry entry is "no".)
Modificación de la página de inicio y de la página de búsqueda del explorador Web
Este malware modifica la configuración de zona de Internet Explorer.