TROJ_STARTPA.ZH

Cambia la página de inicio de Internet Explorer del usuario a un determinado sitio Web. Esta acción permite que el malware dirija a un sitio Web que contiene malware y aumente el riesgo de infección de malware del equipo afectado.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %Windows%\nvsvc32.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
NVIDIA driver monitor = "%Windows%\nvsvc32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
NVIDIA driver monitor = "%Windows%\nvsvc32.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Terminal Server\
Install\Software\Microsoft\
Windows\CurrentVersion\Run
NVIDIA driver monitor = "%Windows%\nvsvc32.exe"

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name} = "%Windows%\nvsvc32.exe:*:Enabled:NVIDIA driver monitor"

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Cambia la página de inicio de Internet Explorer del usuario a los siguientes sitios Web:

• http://{BLOCKED}turls.info

Otros detalles

Este malware define los atributos del/de los siguiente(s) archivo(s) como Oculto y Sistema:

• {malware path and file name}
• %Windows%\nvsvc32.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).