Análisis realizado por : Jasen Sumalapao   
 Alias

Rogue:Win32/Winwebsec (Microsoft) Trojan.FakeAV (Norton)

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Trojan

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Se conecta a determinadas URL. Uno de los objetivos para ello puede ser informar remotamente de su instalación a un usuario malicioso. También puede hacerlo para descargar archivos maliciosos en el equipo, lo que aumentaría su riesgo de infección por parte de otras amenazas.

Muestra una ventana en la que el usuario puede comprar este programa antivirus falso.

  Detalles técnicos

Tamaño del archivo 426,496 bytes
Tipo de archivo EXE
Fecha de recepción de las muestras iniciales 12 Jul 2012

Instalación

Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:

  • %User Profile%\Application Data\{random characters}\{random characters}.exe

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Este malware infiltra el/los siguiente(s) archivo(s):

  • %Desktop%\Live Security Platinum.lnk
  • %Start Menu%\Programs\Live Security Platinum.lnk
  • %Start Menu%\Programs\Live Security Platinum\Live Security Platinum.lnk

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

. %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).

)

Finaliza la ejecución de la copia que ejecutó inicialmente y ejecuta en su lugar la copia que ha creado.

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{random characters} = %User Profile%\Application Data\{random characters}\{random characters}.exe

Rutina de descarga

Se conecta a las siguientes URL maliciosas:

  • http://{BLOCKED}.{BLOCKED}.178.189/api/urls/?ts=8d7f73b5&affid=41100

Rutina de antivirus falso

Se muestra al usuario la siguiente ventana para que compre el programa antivirus falso:

  • Live Security Platinum