TROJ_FAKEAV.IHF

Este malware no tiene ninguna rutina de propagación.

Este malware no tiene ninguna rutina de puerta trasera.

Este malware no tiene ninguna capacidad para realizar descargas.

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Infiltra los archivos siguientes:

• %Desktop%\Live Security Platinum.lnk
• %Start Menu%\Programs\Live Security Platinum\Live Security Platinum.lnk
• %System Root%\Documents and Settings\All Users\Application Data\{random hex string}\{random hex string}
• %System Root%\Documents and Settings\All Users\Application Data\{random hex string}\{random hex string}.ico

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

Crea las siguientes copias de sí mismo en el sistema afectado:

• %System Root%\Documents and Settings\All Users\Application Data\{random hex string}\{random hex string}.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Crea las carpetas siguientes:

• %Start Menu%\Programs\Live Security Platinum
• %System Root%\Documents and Settings\All Users\Application Data\{random hex string}

(Nota: %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{random hex string} = "%System Root%\Documents and Settings\All Users\Application Data\{random hex string}\{random hex string}.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
Installer

HKEY_CURRENT_USER\Software\Microsoft\
Installer\Products

HKEY_CURRENT_USER\Software\Microsoft\
Installer\Products\{random hex value}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Live Security Platinum

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Installer\Products\{random hex value}
(Default) = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Live Security Platinum
DisplayName = "Live Security Platinum"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Live Security Platinum
ShortcutPath = ""%System Root%\Documents and Settings\All Users\Application Data\{random hex string}\{random hex string}.exe" -u"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Live Security Platinum
UninstallString = ""%System Root%\Documents and Settings\All Users\Application Data\{random hex string}\{random hex string}.exe" -u"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Live Security Platinum
DisplayIcon = "%System Root%\Documents and Settings\All Users\Application Data\{random hex string}\{random hex string}.ico,0"

Propagación

Este malware no tiene ninguna rutina de propagación.

Rutina de puerta trasera

Este malware no tiene ninguna rutina de puerta trasera.

Rutina de descarga

Este malware no tiene ninguna capacidad para realizar descargas.

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{BLOCKED}.{BLOCKED}.178.189/api/urls/?ts={number}&affid={number}
• http://{BLOCKED}.{BLOCKED}.178.189/api/stats/install/?ts={number}&affid={number}&ver={number}&group=liv