TROJ_FAKEAV.OG
Windows 2000, Windows XP, Windows Server 2003
Tipo de malware
Trojan
Destructivo?
No
Cifrado
No
In the Wild:
Sí
Resumen y descripción
Si el usuario accede a comprar el software, se conecta a una URL determinada.
Detalles técnicos
Instalación
Infiltra los archivos siguientes:
- %System Root%\Documents and Settings\All Users\Application Data\{random filename2}
- %System Root%\Documents and Settings\All Users\Application Data\{random filename2}.exe
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Crea las siguientes copias de sí mismo en el sistema afectado:
- %System Root%\Documents and Settings\All Users\Application Data\{random filename1}.exe
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Crea las carpetas siguientes:
- %User Temp%\smtmp
- %User Temp%\smtmp\1
- %User Temp%\smtmp\2
- %User Temp%\smtmp\3
- %User Temp%\smtmp\4
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random filename} = %System Root%\Documents and Settings\All Users\Application Data\{random file name1}.exe
Otras modificaciones del sistema
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software
75fa38b7-8b94-4995-ad32-52e938867954 =
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
ActiveDesktop
NoChangingWallpaper = 1
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
LowRiskFileTypes = /{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = 1
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoDesktop = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableTaskMgr = 1
Modifica las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
CheckExeSIgnatures = no
(Note: The default value data of the said registry entry is yes.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 0
(Note: The default value data of the said registry entry is 1.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0
(Note: The default value data of the said registry entry is 1.)
Rutina de antivirus falso
Si el usuario accede a comprar el software, se conecta a la siguiente URL para continuar con la adquisición:
- {BLOCKED}ought.org
- {BLOCKED}rprise.org
- {BLOCKED}wild.org
- {BLOCKED}wone.org
- {BLOCKED}zoo.org