TROJ_FAKEAV.JBR
PWS-Zbot.gen.ary (McAfee), W32/AutoRun.WEU!worm (Fortinet)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo de malware
Trojan
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Se ejecuta y, a continuación, se elimina.
Detalles técnicos
Instalación
Este malware infiltra el/los siguiente(s) archivo(s):
- %User Temp%\6o4v7yr6ikfw18072u
- %AppDataLocal%\6o4v7yr6ikfw18072u
- %All Users Profile%\6o4v7yr6ikfw18072u (Windows Vista and higher versions)
- %All Users Profile%\Application Data\6o4v7yr6ikfw18072u (Versions lower than Windows Vista)
- %User Profile%\AppData\Roaming\Microsoft\Windows\Templates\6o4v7yr6ikfw18072u (Windows Vista and higher versions)
- %User Profile%\Templates\6o4v7yr6ikfw18072u (Versions lower than Windows Vista)
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).)Crea las siguientes copias de sí mismo en el sistema afectado:
- %AppDataLocal%\{three random letters}.exe
Se ejecuta y, a continuación, se elimina.
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CLASSES_ROOT\3ww
Agrega las siguientes entradas de registro:
HKEY_CLASSES_ROOT\3ww\shell\
open\command
Default = ""%AppDataLocal%\{three random letters}.exe" -a "%1" %*"
HKEY_CLASSES_ROOT\.exe\shell\
open\command
Default = ""%AppDataLocal%\{three random letters}.exe" -a "%1" %*"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
HideSCAHealth = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
EnableFirewall = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DoNotAllowExceptions = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DisableNotifications = "1"
Modifica las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
Default = ""%AppDataLocal%\{three random letters}.exe" -a "%Program Files%\Internet Explorer\iexplore.exe""
(Note: The default value data of the said registry entry is Default = "%Program Files%\Internet Explorer\iexplore.exe".)
HKEY_CLASSES_ROOT\.exe
Default = "3ww"
(Note: The default value data of the said registry entry is "exefile".)
Elimina las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\wscsvc