Nombre:TR/FakeAV.LBG.1
Descubierto:08/07/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:1.595.392 Bytes
Suma de control MD5:7789abbeda92bcfba31e85f897b00F13
Versión del IVDF:7.10.09.45 - jueves 8 de julio de 2010

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Eset: Win32/Adware.DesktopDefender2010.AG


Plataformas / Sistemas operativos:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro
Los usuarios deshonestos o el malware la pueden utilizar para disminuir el nivel de seguridad.
Falsley informa sobre la infección del malware o sobre los problemas del sistema, y ofrece la opción de arreglarlos si el usuario adquiere la aplicación.


Inmediatamente después de su ejecución, muestra la siguiente información:



 Ficheros  Elimina el siguiente fichero:
   • %TEMPDIR%\qas1.tmp



Crea los siguientes ficheros:

%TEMPDIR%\02c9c3c35bdx5.exe
%TEMPDIR%\17dkf.exe
%TEMPDIR%\1iowieoo.exe
%TEMPDIR%\2010yo.exe
%TEMPDIR%\472a10e2ebxd9.exe
%TEMPDIR%\56493.exe
%TEMPDIR%\8gmsed-bd.exe
%TEMPDIR%\a75wef8e0e7.exe
%TEMPDIR%\ae0965a7157cd.exe
%TEMPDIR%\al3erfa3.exe
%TEMPDIR%\aler3fa.exe
%TEMPDIR%\alerfa.exe
%TEMPDIR%\alerfa2.exe
%TEMPDIR%\alerfa322.exe
%TEMPDIR%\aqfitrlxi2.exe
%TEMPDIR%\backd-efq.exe
%TEMPDIR%\brdss.exe
%TEMPDIR%\bzqa43d.exe
%TEMPDIR%\cffd4.exe
%TEMPDIR%\cocksucker.exe
%TEMPDIR%\cosock.exe
%TEMPDIR%\cunifuc.exe
%TEMPDIR%\dc_3.exe
%TEMPDIR%\dd10x10.exe
%TEMPDIR%\ddhelp.exe
%TEMPDIR%\ddoll3342.exe
%TEMPDIR%\destroyer.exe
%TEMPDIR%\dffuck.exe
%TEMPDIR%\dkfjd93.exe
%TEMPDIR%\ds7hw.exe
%TEMPDIR%\dwl_bqz.exe
%TEMPDIR%\eelnvd13.exe
%TEMPDIR%\eephilpe.exe
%TEMPDIR%\exppdf_w.exe
%TEMPDIR%\fadz43.exe
%TEMPDIR%\fe.exe
%TEMPDIR%\format.exe
%TEMPDIR%\gedx_ae09.exe
%TEMPDIR%\gpdfsws_bbg.exe
%TEMPDIR%\gpupz2a.exe
%TEMPDIR%\hardwh.exe
%TEMPDIR%\hhbboll_2.exe
%TEMPDIR%\hiphop.exe
%TEMPDIR%\hjkgfddd.exe
%TEMPDIR%\hodeme.exe
%TEMPDIR%\htfad4.exe
%TEMPDIR%\hvipws9.exe
%TEMPDIR%\jdhellwo3.exe
%TEMPDIR%\jkfuckfu.exe
%TEMPDIR%\jofcdks.exe
%TEMPDIR%\kgn.exe
%TEMPDIR%\kilslmd.exex
%TEMPDIR%\kjdh_gf_jjdhgd.exe
%TEMPDIR%\kjh102k3.exe
%TEMPDIR%\kn.a.exe
%TEMPDIR%\kock.exe
%TEMPDIR%\ljts-23.exe
%TEMPDIR%\lkhgg_ea.exe
%TEMPDIR%\lols.exe
%TEMPDIR%\lorsk.exe
%TEMPDIR%\ploper.exe
%TEMPDIR%\poertd.exe
%TEMPDIR%\ppddfcfux.exxe
%TEMPDIR%\pswwg3c.exe
%TEMPDIR%\puzpup.exe
%TEMPDIR%\qwedvor.exe
%TEMPDIR%\qwklrvjhqlkj.exe
%TEMPDIR%\r0life.exe
%TEMPDIR%\rator.exe
%TEMPDIR%\rsrtd12.exe
%TEMPDIR%\rtfme.exe
%TEMPDIR%\safe.exe
%TEMPDIR%\snowif.exe
%TEMPDIR%\sycre.exe
%TEMPDIR%\test.exe
%TEMPDIR%\timem.exe
%TEMPDIR%\w32-reno-c.exe
%TEMPDIR%\warsddd_w.exe
%TEMPDIR%\wefgetn_00.exe
%TEMPDIR%\wergfq.exe
%TEMPDIR%\winlogoff.exe
%TEMPDIR%\wqefqw7e.exe
%TEMPDIR%\wrcud12.exe
%TEMPDIR%\wrfwe_di.exe
%TEMPDIR%\wwwsssgen.exe

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Desktop Security 2010"="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"



Añade las siguientes claves al registro:

– [HKCU\Software\Desktop Security 2010]
   • "LastTimeStamp"=dword:00000061
   • "LastUpdateDate"="2010/6/17"
   • "DaysInterval"=dword:00000007
   • "BackgroundScanTimeout"=dword:00000001
   • "ScanSystemOnStartup"=dword:00000001
   • "AutomaticallyUpdates"=dword:00000001
   • "MinimizeOnStart"=dword:00000000
   • "BackgroundScan"=dword:00000001
   • "UnsecureStartup"=dword:00000000
   • "SoundEnabled"=dword:00000001
   • "ScanDepth"=dword:0000005e

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   User Agent\Post Platform]
   • "_reg"=
   • "(Default)"="????)IC?D?D"
   • ?

Descripción insertada por Patrick Schoenherr el jueves 8 de julio de 2010
Descripción actualizada por Patrick Schoenherr el jueves 8 de julio de 2010

Volver . . . .