TROJ_FAKEAV.DC

Se ejecuta y, a continuación, se elimina.

Este malware modifica la configuración de zona de Internet Explorer.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s):

• %System Root%\Documents and Settings\All Users\Application Data\{random file name}
• %User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\File_Recovery.lnk or %User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\File_Restore.lnk
• %Desktop%\File_Recovery.lnk or %Desktop%\File_Restore.lnk
• %Start Menu%\Programs\File Recovery\File Recovery.lnk or %Start Menu%\Programs\File Restore\File Restore.lnk
• %Start Menu%\Programs\File Recovery\Uninstall File Recovery.lnk or %Start Menu%\Programs\File Restore\Uninstall File Restore.lnk

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Crea las siguientes copias de sí mismo en el sistema afectado:

• %System Root%\Documents and Settings\All Users\Application Data\{random file name}.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Crea las carpetas siguientes:

• %Start Menu%\Programs\File Recovery or %Start Menu%\Programs\File Restore

(Nota: %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).

Se ejecuta y, a continuación, se elimina.

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = "%System Root%\Documents and Settings\All Users\Application Data\{malware file name}.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
ESENT\Process\{malware file name}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
ESENT\Process\{malware file name}\
DEBUG

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Use FormSuggest = "Yes"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
LowRiskFileTypes = ".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
ESENT\Process\{malware file name}\
DEBUG
Trace Level = ""

Modifica las siguientes claves de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
CheckExeSignatures = "yes"

(Note: The default value data of the said registry entry is "no".)

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Este malware modifica la configuración de zona de Internet Explorer.