¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/FakeAV.anm
Descubierto:14/07/2011
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:524.288 Bytes
Suma de control MD5:88F32B47676BEA874374EE2CDDF5EE5A
Versión del VDF:7.11.11.156 - jueves, 14 de julio de 2011
Versión del IVDF:7.11.11.156 - jueves, 14 de julio de 2011

 General Alias:
   •  TrendMicro: TROJ_VUNDO.SMIB
   •  Sophos: Mal/FakeAV-MQ
   •  Microsoft: Rogue:Win32/FakeRean


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efectos secundarios:
   • Suelta ficheros
   • Falsley informa sobre la infección del malware o sobre los problemas del sistema, y ofrece la opción de arreglarlos si el usuario adquiere la aplicación.
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios%.exe



Elimina la copia inicial del virus.

 Registro Añade uno de los siguientes valores a cada clave del registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%serie de caracteres aleatorios%"="%APPDATA%\%serie de caracteres aleatorios%.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="%SYSDIR%\ctfmon.exe"
   • "2806989990"="%HOME%\Local Settings\Application Data\%serie de caracteres aleatorios%.exe"



Crea las siguientes entradas para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:00000000
   • "DoNotAllowExceptions"=dword:00000000
   • "DisableNotifications"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile]
   • "EnableFirewall"=dword:00000000
   • "DoNotAllowExceptions"=dword:00000000
   • "DisableNotifications"=dword:00000001



Añade la siguiente clave al registro:

– [HKCR\.exe\shell\open\command]
   • "(Default)"="\"%HOME%\Local Settings\Application Data\%serie de caracteres aleatorios%.exe\" -a \"%1\" %*"
   • "IsolatedCommand"="\"%1\" %*"

 Informaciones diversas Accede a recursos de Internet:
   • **********owonido.com; **********ijeqipif.com;
      **********ulaxavys.com; **********ihylite.com;
      **********yhudesu.com; **********okelara.com;
      **********ekekejepuvo.com; **********osozupuf.com;
      **********tiroda.com; **********uqaroxos.com;
      **********igijito.com; **********omumehyn.com;
      **********inyfybex.com; **********izesax.com;
      **********rosoft.com; **********ihynybihy.com;
      **********yruqyn.com; **********oloquv.com;
      **********arucukom.com; **********akywuseleri.com;
      **********exyposenebi.com; **********yhixasuhu.com;
      **********ijixiwidaz.com; **********ucyvybumyka.com;
      **********ocyril.com; **********igicigisav.com;
      **********hubolype.com; **********urihezoqe.com;
      **********yvasibi.com; **********yraceke.com;
      **********icofez.com; **********olidejypo.com;
      **********uzyrywovaj.com; **********ecikodovi.com;
      **********uhuziqys.com; **********yvagyxut.com;
      **********unider.com; **********ipijuxoj.com;
      **********apehyni.com; **********ysasowebaty.com;
      **********jajyb.com; **********wiguxake.com;
      **********lyxagesop.com; **********rezaba.com;
      **********icefydyn.com; **********ebelywa.com;
      **********ybilyxu.com; **********aziweboxe.com

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Andrei Ilie el viernes, 7 de octubre de 2011
Descripción actualizada por Andrei Ilie el lunes, 10 de octubre de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.