Nombre:TR/Fakealert.HC
Descubierto:16/10/2008
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:44.032 Bytes
Suma de control MD5:9d40e58d4b91df1fdf7afd3b05dba6d6
Versión del IVDF:7.00.07.47 - jueves 16 de octubre de 2008

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Symantec: Trojan.Virantix.C
   •  Kaspersky: Backdoor.Win32.UltimateDefender.tt
   •  F-Secure: Trojan-Downloader:W32/FakeAlert.BG
   •  Sophos: Troj/FakeVir-GL
   •  Panda: Adware/XPAntiSpyware2009
   •  Grisoft: Downloader.Zlob.AEVS
   •  VirusBuster: Trojan.Renos.AUI
   •  Eset: Win32/TrojanDownloader.FakeAlert.MN trojan
   •  Bitdefender: Packer.Malware.Lighty.I


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Crea los siguientes ficheros:

%SYSDIR%\brastk.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.FraudLo.bai

%SYSDIR%\dllcache\figaro.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Rootkit.Gen

%SYSDIR%\dllcache\beep.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Rootkit.Gen

%SYSDIR%\drivers\beep.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Rootkit.Gen

%WINDIR%\delself.bat Este fichero batch es empleado para eliminar un fichero.

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • brastk="%SYSDIR%\brastk.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • brastk="%SYSDIR%\brastk.exe"



Añade la siguiente clave al registro:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • PendingFileRenameOperations=%valores hex%

 Correo electrónico No incluye rutina de propagación propia, pero se ha difundido por correo electrónico. Las características están descritas a continuación:


De:
La dirección del remitente es falsa.


Asunto:
El siguiente:
   • New anjelina jolie sex scandal



El cuerpo del mensaje:
El cuerpo del mensaje de correo es el siguiente:
   • anjelina jolie porn video, file attached, watch it


Archivo adjunto:
El nombre del fichero adjunto es:
   • angelina_video.zip

El adjunto es un archivo que contiene una copia del programa viral.

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Thomas Wegele el miércoles 22 de octubre de 2008
Descripción actualizada por Thomas Wegele el miércoles 22 de octubre de 2008

Volver . . . .