Analizzato da: Erika Bianca Mendoza   
 

TR/FakeAV.bhaw (Antivir)

 Piattaforma:

Windows 2000, Windows XP, Windows Server 2003

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Trojan

  • Distruttivo?:
    No

  • Crittografato?:

  • In the wild::
     

  Panoramica e descrizione

Instala software antivirus/antispyware falso. Este malware muestra alertas falsas que advierten a los usuarios de una infección. También muestra resultados de exploración falsos del sistema afectado. A continuación pide a los usuarios que lo adquieran una vez haya finalizado la exploración. Si los usuarios deciden adquirir el producto, aparecerá un sitio Web en el que se les pedirá información confidencial, como su número de tarjeta de crédito.

  Dettagli tecnici

Dimensione file: 858624 bytes
Tipo di file: EXE
Residente in memoria:
Data di ricezione campioni iniziali: 25 marzo 2011
Carica distruttiva: Connects to URLs/Ips

Instalación

Infiltra los archivos siguientes:

  • %System%\us?rinit.exe
  • %User Temp%\{E9C1E0AC-C9B1-4c85-94DE-9C1518918D01}.tlb
  • %User Temp%\{E9C1E0AC-C9B1-4c85-94DE-9C1518918D02}.tlb
  • %system%\exefile.exe
  • %system%\drivers\vbma{random}.sys
  • %system%\ms{randomchars}.dll

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Técnica de inicio automático

Registra el componente infiltrado como servicio del sistema para garantizar su ejecución automática cada vez que arranque el sistema. Para ello, crea las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\userinit
Start = 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\userinit
Type = 10

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\userinit
ErrorControl = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\userinit
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\userinit
DisplayName = "Antivirus 2010"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\userinit
Description = "AV software"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\userinit
ImagePath = "\.\globalroot\systemroot\system32\us?rinit.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}

HKEY_LOCAL_MACHINE\Interface\{66b993fe-420b-8977-5143-d1c92318606e}

HKEY_LOCAL_MACHINE\Interface\{cbe93010-4b77-9e68-7952-c6c546e1b0c4}

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
DisplayIcon = "\.\globalroot\systemroot\system32\us?rinit.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
NoModify = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
URLInfoAbout = http://www.webtopbilling.com/

HKEY_CLASSES_ROOT\Interface\{cbe93010-4b77-9e68-7952-c6c546e1b0c4}
u = "131253"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
NoRepair = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
u = 200b5

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
t = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
a = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
DisplayName = "Antivirus 2010"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
Publisher = "WebTop Software Limited"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{7F230CA0-D973-ECA8-E4E4-E28DBBEC2277}
UninstallString = "\.\globalroot\systemroot\system32\us?rinit.exe /uninstall"

Modifica las siguientes entradas de registro:

HKEY_CLASSES_ROOT\exefile\shell\
open\command
(Default) = ""exefile" /shell <%1> %*"

(Note: The default value data of the said registry entry is ""%1" %*".)

Rutina de infiltración

Infiltra los archivos siguientes:

  • %System%\exefile.exe - detected as TROJ_FAKEAV.LEXB

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Rutina de antivirus falso

Instala software antivirus/antispyware falso.

Este malware muestra alertas falsas que advierten a los usuarios de una infección. También muestra resultados de exploración falsos del sistema afectado. A continuación pide a los usuarios que lo adquieran una vez haya finalizado la exploración. Si los usuarios deciden adquirir el producto, aparecerá un sitio Web en el que se les pedirá información confidencial, como su número de tarjeta de crédito.