TROJ_FAKEAV.SJB
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %All Users Profile%\Application Data\hVrs33R3\hVrs33R3.exe
Crea las carpetas siguientes:
- %All Users Profile%\Application Data\hVrs33R3
- %Start Menu%\Programs\Antivirus Security Pro
(Nota: %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Run
AS2014 = "%All Users Profile%\Application Data\hVrs33R3\hVrs33R3.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Security Center\Svc
AntiVirusDisableNotify = "1"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Security Center\Svc
AntiVirusOverride = "1"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Security Center\Svc
FirewallDisableNotify = "1"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Security Center\Svc
FirewallOverride = "1"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Security Center\Svc
UpdatesDisableNotify = "1"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\policies\
system
EnableVirtualization = "0"
HKEY_LOCAL_USER\Contro Panel\don't load
wscui.cpl = "No"
Modifica las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Security Center
AntiVirusDisableNotify = "1"
(Note: The default value data of the said registry entry is "0".)
HKEY_LOCAL_MACHINE\Software\Microsoft\
Security Center
FirewallDisableNotify = "1"
(Note: The default value data of the said registry entry is "0".)
HKEY_LOCAL_MACHINE\Software\Microsoft\
Security Center
UpdatesDisableNotify = "1"
(Note: The default value data of the said registry entry is "0".)
HKEY_LOCAL_MACHINE\Software\Microsoft\
Security Center
AntiVirusOverride = "1"
(Note: The default value data of the said registry entry is "0".)
HKEY_LOCAL_MACHINE\Software\Microsoft\
Security Center
FirewallOverride = "1"
(Note: The default value data of the said registry entry is "0".)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\wscsvc
Start = "4"
(Note: The default value data of the said registry entry is "2".)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\wuauserv
Start = "4"
(Note: The default value data of the said registry entry is "2".)
Rutina de infiltración
Infiltra los archivos siguientes:
- %All Users Profile%\Application Data\hVrs33R3\DD1
- %All Users Profile%\Application Data\hVrs33R3\DD2
- %All Users Profile%\Application Data\hVrs33R3\DD3
- %All Users Profile%\Application Data\hVrs33R3\DD4
- %All Users Profile%\Application Data\hVrs33R3\serv.bat
- %All Users Profile%\Application Data\hVrs33R3\hVrs33R3.exe.manifest
- %All Users Profile%\Application Data\hVrs33R3\hVrs33R3.ico
- %All Users Profile%\Application Data\hVrs33R3\hVrs33R3QxDtgggg.in
- %All Users Profile%\Application Data\hVrs33R3\hVrs33R3QxDtgggg.lg
- %Desktop%\Antivirus Security Pro support.url
- %Desktop%\Antivirus Security Pro.lnk
- %Start Menu%\Programs\Antivirus Security Pro\Antivirus Security Pro support.url
- %Start Menu%\Programs\Antivirus Security Pro\Antivirus Security Pro.lnk
(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).
. %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).)