TROJ_AGENT.ICO
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
No
In the wild::
Yes
OVERVIEW
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Instala software antivirus/antispyware falso. Este malware muestra alertas falsas que advierten a los usuarios de una infección. También muestra resultados de exploración falsos del sistema afectado. A continuación pide a los usuarios que lo adquieran una vez haya finalizado la exploración. Si los usuarios deciden adquirir el producto, aparecerá un sitio Web en el que se les pedirá información confidencial, como su número de tarjeta de crédito.
TECHNICAL DETAILS
Detalles de entrada
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Instalación
Este malware infiltra los siguientes archivos no maliciosos:
- %Documents and Settings%\All Users\Application Data\{random}
- %UserProfile%\Templates\{random}
Otras modificaciones del sistema
Agrega las siguientes claves de registro como parte de la rutina de instalación:
HKEY_CLASSES_ROOT\exefile\shell\
open\command
Default = {malware path and filename} -a "%1" %*
(Note: The default value data of the said registry entry is "%1" %*.)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
Default = {malware path and filename} -a "C:\Program Files\Intern
(Note: The default value data of the said registry entry is Internet Explorer.)
Este malware también crea la(s) siguiente(s) entrada(s) de registro como parte de la rutina de instalación:
HKEY_CLASSES_ROOT\.exe\shell\
open\command
Default = ""{malware path and filename}" -a "%1" %*"
HKEY_CURRENT_USER\Software\Classes\
.exe
Default = exefile
HKEY_CLASSES_ROOT\.exe\DefaultIcon
Default = %1
HKEY_CLASSES_ROOT\.exe\shell\
open\command
IsolatedCommand = "%1" %*
HKEY_CLASSES_ROOT\.exe\shell\
runas\command
default = "%1" %*
HKEY_CLASSES_ROOT\.exe\shell\
runas\command
IsolatedCommand = "%1" %*
HKEY_CLASSES_ROOT\exefile
Content Type = application/x-msdownload
HKEY_CLASSES_ROOT\exefile\shell\
open\command
IsolatedCommand = "%1" %*
HKEY_CLASSES_ROOT\exefile\shell\
runas\command
IsolatedCommand = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
.exe
Content Type = application/x-msdownload
HKEY_CURRENT_USER\Software\Classes\
.exe\DefaultIcon
Default = %1
HKEY_CURRENT_USER\Software\Classes\
.exe\shell\open\
command
Default = {malware path and filename} -a "%1" %*
HKEY_CURRENT_USER\Software\Classes\
.exe\shell\open\
command
IsolatedCommand = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
.exe\shell\runas\
command
Default = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
.exe\shell\runas\
command
IsolatedCommand = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
exefile
Default = Application
HKEY_CURRENT_USER\Software\Classes\
exefile
Content Type = application/x-msdownload
HKEY_CURRENT_USER\Software\Classes\
exefile\DefaultIcon
Default = %1
HKEY_CURRENT_USER\Software\Classes\
exefile\shell\open\
command
Default = {malware path and filename} -a "%1" %*
HKEY_CURRENT_USER\Software\Classes\
exefile\shell\open\
command
IsolatedCommand = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
exefile\shell\runas\
command
Default = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
exefile\shell\runas\
command
IsolatedCommand = "%1" %*
Rutina de antivirus falso
Instala software antivirus/antispyware falso.
Este malware muestra alertas falsas que advierten a los usuarios de una infección. También muestra resultados de exploración falsos del sistema afectado. A continuación pide a los usuarios que lo adquieran una vez haya finalizado la exploración. Si los usuarios deciden adquirir el producto, aparecerá un sitio Web en el que se les pedirá información confidencial, como su número de tarjeta de crédito.