¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/FakeSysdef.A.868
Descubierto:24/05/2011
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:334.336 Bytes
Suma de control MD5:20DE5ECFBD8CEB32A0AB42F124B651EC
Versión del VDF:7.11.08.126 - martes, 24 de mayo de 2011
Versión del IVDF:7.11.08.126 - martes, 24 de mayo de 2011

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  TrendMicro: TROJ_FAKEAV.SM29
   •  Sophos: Mal/FakeAV-EA
   •  Microsoft: Trojan:Win32/FakeSysdef


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efectos secundarios:
   • Suelta ficheros
   • Falsley informa sobre la infección del malware o sobre los problemas del sistema, y ofrece la opción de arreglarlos si el usuario adquiere la aplicación.
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Función “trampa de precios”: se engaña al usuario para que realice una costosa suscripción


Inmediatamente después de su ejecución, muestra la siguiente información:





 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %ALLUSERSPROFILE%\Application Data\%serie de caracteres aleatorios%.exe



Renombra los siguientes ficheros:

    •  %ALLUSERSPROFILE%\Start Menu\%todos los subdirectorios% en %TEMPDIR%\smtmp\1\*
    •  %APPDATA%\Microsoft\Internet Explorer\Quick Launch\* en %TEMPDIR%\smtmp\2\*



Elimina la copia inicial del virus.



Crea el siguiente fichero:

– %ALLUSERSPROFILE%\Application Data\%número%.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/FakeSysdef.A.1023

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%serie de caracteres aleatorios%"="%ALLUSERSPROFILE%\Application Data\%serie de caracteres aleatorios%.exe"



Añade las siguientes claves al registro:

– [HKCU\Software\Microsoft\Internet Explorer\Download]
   • "CheckExeSignatures"="no"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableTaskMgr"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "DisableTaskMgr"=dword:0000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "ShowSuperHidden"=dword:00000000
   • "Hidden"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   • "NoChangingWallPaper"=dword:00000001

– [HKCU\Software]
   • "75fa38b7-8b94-4995-ad32-52e938867954"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoDesktop"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   • "NoChangingWallPaper"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"="/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:"

 Informaciones diversas Accede a recursos de Internet:
   • http://**********dconsonant.org/pica1/531-direct
   • http://**********rchafternoon.org/404.php?type=stats&affid=531&subid=03&awok
   • http://**********rchbottle.org/pica1/531-direct
   • http://**********dconsonant.org/pica1/516-direct
   • http://**********rchafternoon.org/404.php?type=stats&affid=516&subid=02&awok
   • http://**********rchbottle.org/pica1/516-direct


Objeto mutex:
Crea el siguiente objeto mutex:
   • 86e8a495-357c-437c-b6e9-13e757bfabab

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Andrei Ilie el viernes, 26 de agosto de 2011
Descripción actualizada por Andrei Ilie el jueves, 1 de septiembre de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.