TROJ_FAKEAV.MSRT

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Instala software antivirus/antispyware falso. Este malware muestra alertas falsas que advierten a los usuarios de una infección. También muestra resultados de exploración falsos del sistema afectado. A continuación pide a los usuarios que lo adquieran una vez haya finalizado la exploración. Si los usuarios deciden adquirir el producto, aparecerá un sitio Web en el que se les pedirá información confidencial, como su número de tarjeta de crédito.

Detalles de entrada

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Instalación

Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:

• %User Profile%\mrtw.exe

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
mrtw = "%User Profile%\mrtw.exe"

(Note: The default value data of the said registry entry is .)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

(Note: The default value data of the said registry entry is .)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"

(Note: The default value data of the said registry entry is .)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"

(Note: The default value data of the said registry entry is .)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\ Policies\
Associations
LowRiskFileTypes = ".exe;"

(Note: The default value data of the said registry entry is .)

Otros detalles

Según el análisis de los códigos, tiene las siguientes capacidades:

• The fake scanning redirects to a payment page where users are asked to pay $99.90 for the rogue software, Shield EC Antivirus.
• Shows prompts of malware infection if users ignore the recommendation.
• Adds a registry entry to associate ".EXE" files as low risk and will not prompt any warning when opened

Rutina de antivirus falso

Instala software antivirus/antispyware falso.

Este malware muestra alertas falsas que advierten a los usuarios de una infección. También muestra resultados de exploración falsos del sistema afectado. A continuación pide a los usuarios que lo adquieran una vez haya finalizado la exploración. Si los usuarios deciden adquirir el producto, aparecerá un sitio Web en el que se les pedirá información confidencial, como su número de tarjeta de crédito.