Nombre:TR/FakeScanner.ziu
Descubierto:12/11/2008
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:899.024 Bytes
Suma de control MD5:958feedf34cba174a85f4f58bb65955a
Versión del VDF:7.01.00.70
Versión del IVDF:7.01.00.77 - jueves 13 de noviembre de 2008

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Eset: Win32/Genetik
   •  Bitdefender: Trojan.Generic.969530


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %PROGRAM FILES%\PCPrivacyCleaner\pcpc.exe



Crea la siguiente carpeta:
   • %PROGRAM FILES%\PCPrivacyCleaner



Crea los siguientes ficheros:

%directorio donde se ejecuta el programa viral%\PCPrivacyCleaner.lnk
– %ALLUSERSPROFILE%\Start Menu\Programs\PCPrivacyCleaner\PCPrivacyCleaner.lnk
– %ALLUSERSPROFILE%\Start Menu\Programs\PCPrivacyCleaner\Uninstall PCPrivacyCleaner.lnk
%home%\Application Data\Microsoft\Internet Explorer\Quick Launch\PCPrivacyCleaner.lnk
%home%\Application Data\PCPrivacyCleaner\Logs\scns.txt



Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://www.instlog.pcprivacycleaner.com/**********
This file may contain further download locations (es)

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • PCPrivacyCleaner="%PROGRAM FILES%\PCPrivacyCleaner\pcpc.exe"



Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\PCPrivacyCleaner]
   • "LicenseAccepted"=hex:01
   • "InstallDate"=%valores hex%
   • "ActivationCode"=%valores hex%
   • "Version"=%valores hex%
   • "LastScanTime"=%valores hex%
   • "TotalScanCount"=%valores hex%

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\
   PCPrivacyCleaner]
   • DisplayName="PCPrivacyCleaner"
   • UninstallString=""%PROGRAM FILES%\PCPrivacyCleaner\pcpc.exe" -uninstall"
   • NoModify=dword:00000001

– [HKLM\Software\{65DE966D-11D1-4bb1-BF7E-B8A273514DAF}]
   • Version=hex:33,50,5f,55,50,43,50,43,53,45

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • PCPrivacyCleaner%valores hex%-%valores hex%-%valores hex%-%valores hex%-%valores hex%

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • AS Pack

Descripción insertada por Monica Ghitun el martes 16 de diciembre de 2008
Descripción actualizada por Monica Ghitun el martes 16 de diciembre de 2008

Volver . . . .