TROJ_FAKEAV.LEXA
TR/FakeAV.bhaw (Antivir)
Windows 2000, Windows XP, Windows Server 2003
Tipo di minaccia informatica:
Trojan
Distruttivo?:
No
Crittografato?:
Sì
In the wild::
Panoramica e descrizione
Instala software antivirus/antispyware falso. Este malware muestra alertas falsas que advierten a los usuarios de una infección. También muestra resultados de exploración falsos del sistema afectado. A continuación pide a los usuarios que lo adquieran una vez haya finalizado la exploración. Si los usuarios deciden adquirir el producto, aparecerá un sitio Web en el que se les pedirá información confidencial, como su número de tarjeta de crédito.
Dettagli tecnici
Instalación
Infiltra los archivos siguientes:
- %System%\us?rinit.exe
- %User Temp%\{E9C1E0AC-C9B1-4c85-94DE-9C1518918D01}.tlb
- %User Temp%\{E9C1E0AC-C9B1-4c85-94DE-9C1518918D02}.tlb
- %system%\exefile.exe
- %system%\drivers\vbma{random}.sys
- %system%\ms{randomchars}.dll
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).)Técnica de inicio automático
Registra el componente infiltrado como servicio del sistema para garantizar su ejecución automática cada vez que arranque el sistema. Para ello, crea las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\userinit
Start = 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\userinit
Type = 10
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\userinit
ErrorControl = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\userinit
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\userinit
DisplayName = "Antivirus 2010"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\userinit
Description = "AV software"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\userinit
ImagePath = "\.\globalroot\systemroot\system32\us?rinit.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
HKEY_LOCAL_MACHINE\Interface\{66b993fe-420b-8977-5143-d1c92318606e}
HKEY_LOCAL_MACHINE\Interface\{cbe93010-4b77-9e68-7952-c6c546e1b0c4}
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
DisplayIcon = "\.\globalroot\systemroot\system32\us?rinit.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
NoModify = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
URLInfoAbout = http://www.webtopbilling.com/
HKEY_CLASSES_ROOT\Interface\{cbe93010-4b77-9e68-7952-c6c546e1b0c4}
u = "131253"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
NoRepair = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
u = 200b5
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
t = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
a = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
DisplayName = "Antivirus 2010"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
Publisher = "WebTop Software Limited"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
UninstallString = "\.\globalroot\systemroot\system32\us?rinit.exe /uninstall"
Modifica las siguientes entradas de registro:
HKEY_CLASSES_ROOT\exefile\shell\
open\command
(Default) = ""exefile" /shell <%1> %*"
(Note: The default value data of the said registry entry is ""%1" %*".)
Rutina de infiltración
Infiltra los archivos siguientes:
- %System%\exefile.exe - detected as TROJ_FAKEAV.LEXB
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Rutina de antivirus falso
Instala software antivirus/antispyware falso.
Este malware muestra alertas falsas que advierten a los usuarios de una infección. También muestra resultados de exploración falsos del sistema afectado. A continuación pide a los usuarios que lo adquieran una vez haya finalizado la exploración. Si los usuarios deciden adquirir el producto, aparecerá un sitio Web en el que se les pedirá información confidencial, como su número de tarjeta de crédito.