Nombre:TR/Fake.SecSui.O
Descubierto:12/07/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio
Potencial dañino:Bajo
Fichero estático:
Tamaño:293.632 Bytes
Suma de control MD5:29891f565c522214bec5ee4e5f635ceb
Versión del VDF:7.10.09.72

 General Método de propagación:
   • Función de autoejecución


Alias:
   •  Kaspersky: Trojan.Win32.FraudPack.azkf
   •  Microsoft: Trojan:Win32/FakeSpypro
   •  Panda: Trj/CI.A
   •  Eset: Win32/Adware.SpywareProtect2009
   •  AhnLab: Trojan/Win32.FraudPack
   •  DrWeb: Trojan.Fakealert.18283


Plataforma / Sistema operativo:
   • Windows XP


Efectos secundarios:
   • Reduce las opciones de seguridad
   • Desactiva los programas de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %HOME%\Local Settings\Application Data\lphcpmrpw\mvcecmptssd.exe

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • nehlqwro"="%HOME%\Local Settings\Application Data\lphcpmrpw\mvcecmptssd.exe

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • nehlqwro"="%HOME%\Local Settings\Application Data\lphcpmrpw\mvcecmptssd.exe



Añade las siguientes claves al registro:

– [HKCU\Software\AVSS]
– [HKLM\Software\AVSS]
– [HKCU\Software\AVSuitE]
– [HKLM\Software\AVSuitE]
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Attachments]
   • "SaveZoneInformation"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"=".exe"



Modifica la siguiente clave del registro:

Reduce las opciones de seguridad de Internet Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Valor anterior:
   • "ProxyEnable"=dword:00000000
   Nuevo valor:
   • "ProxyEnable"=dword:00000001
   • "ProxyServer"="http=127.0.0.1:5577"
   • "ProxyOverride"=""
   •

Descripción insertada por Florian Burlefinger el miércoles 14 de julio de 2010
Descripción actualizada por Florian Burlefinger el jueves 15 de julio de 2010

Volver . . . .