WORM_FAKEFLDR.AC
Trojan:Win32/Fakefolder.C (Microsoft); Worm.Win32.FakeFolder.a (Kaspersky); Worm.FakeFolder (VBA32); Trojan.Win32.Fakefolder (Ikarus); W32/FakeFolder.A!worm (Fortinet); Trojan/Win32.FakeFolder (AhnLab-V3); W32/FakeFolder.A (F-Prot)
Windows
Threat Type:
Worm
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Técnica de inicio automático
Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
(Default) = "%Program Files%\system.caca"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CLASSES_ROOT\.caca
HKEY_CLASSES_ROOT\cacafile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.caca
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
cacafile
Agrega las siguientes entradas de registro:
HKEY_CLASSES_ROOT\.caca
(Default) = "cacafile"
HKEY_CLASSES_ROOT\cacafile\shell\
open\command
(Default) = "%Program Files%\Internet Explorer\WINLOGON.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.caca
(Default) = "cacafile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
cacafile\shell\open\
command
(Default) = "%Program Files%\Internet Explorer\WINLOGON.exe"
Propagación
Crea las carpetas siguientes en todas las unidades extraíbles:
- {removable drive letter}:\MyDocuments
Infiltra copias de sí mismo en las unidades siguientes:
- {removable drive letter}:\MyDocument.exe
Rutina de infiltración
Infiltra los archivos siguientes:
- %Program Files%\system.caca
- %Program Files%\Internet Explorer\WINLOGON.exe
- {removable drive letter}:\MyDocument\{files and folders in removable drive}
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
)