TROJ_FAKEAV.HPX
Mal/FakeAV-MQ (Sophos), W32/Kryptik!tr (Fortinet)
Windows 2000, XP, Server 2003, Windows Vista, Windows 7
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %Application Data%\{random file name}.exe
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Infiltra los archivos siguientes:
- %Application Data%\evbddw7f6atf7qed4htn3p130l6k
- %System Root%\Documents and Settings\All Users\Application Data\evbddw7f6atf7qed4htn3p130l6k
- %User Temp%\evbddw7f6atf7qed4htn3p130l6k
- %User Profile%\Templates\evbddw7f6atf7qed4htn3p130l6k
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
. %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).)Finaliza la ejecución de la copia que ejecutó inicialmente y ejecuta en su lugar la copia que ha creado.
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CLASSES_ROOT\{random key}
HKEY_CLASSES_ROOT\.exe\DefaultIcon
HKEY_CLASSES_ROOT\.exe\shell
Agrega las siguientes entradas de registro:
HKEY_CLASSES_ROOT\{random key}
(Default) = "Application"
HKEY_CLASSES_ROOT\{random key}
Content Type = "application/x-msdownload"
HKEY_CLASSES_ROOT\{random key}\DefaultIcon
(Default) = "%1"
HKEY_CLASSES_ROOT\{random key}\shell\
open\command
(Default) = ""%Application Data%\{random file name}.exe" -a "%1" %*"
HKEY_CLASSES_ROOT\{random key}\shell\
open\command
IsolatedCommand = ""%1" %*"
HKEY_CLASSES_ROOT\{random key}\shell\
runas\command
(Default) = ""%1" %*"
HKEY_CLASSES_ROOT\{random key}\shell\
runas\command
IsolatedCommand = ""%1" %*"
HKEY_CLASSES_ROOT\.exe
Content Type = "application/x-msdownload"
HKEY_CLASSES_ROOT\.exe\DefaultIcon
(Default) = "%1"
HKEY_CLASSES_ROOT\.exe\shell\
open\command
(Default) = ""%Application Data%\{random file name}.exe" -a "%1" %*"
HKEY_CLASSES_ROOT\.exe\shell\
open\command
IsolatedCommand = ""%1" %*"
HKEY_CLASSES_ROOT\.exe\shell\
runas\command
(Default) = ""%1" %*"
HKEY_CLASSES_ROOT\.exe\shell\
runas\command
IsolatedCommand = ""%1" %*"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DoNotAllowExceptions = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DisableNotifications = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = 1
Modifica las siguientes entradas de registro:
HKEY_CLASSES_ROOT\.exe
(Default) = "{random key}"
(Note: The default value data of the said registry entry is "exefile".)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
(Default) = ""%Application Data%\{random file name}.exe" -a "%Program Files%\Internet Explorer\iexplore.exe""
(Note: The default value data of the said registry entry is ""%Program Files%\Internet Explorer\iexplore.exe"".)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = 1
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = 1
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = 1
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = 1
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = 4
(Note: The default value data of the said registry entry is 2.)
Elimina las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv