¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/FakeAV.anm
Descubierto:14/07/2011
Tipo:Troyano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:524.288 Bytes
Suma de control MD5:88F32B47676BEA874374EE2CDDF5EE5A
Versin del VDF:7.11.11.156 - jueves 14 de julio de 2011
Versin del IVDF:7.11.11.156 - jueves 14 de julio de 2011

 General Alias:
   •  TrendMicro: TROJ_VUNDO.SMIB
   •  Sophos: Mal/FakeAV-MQ
     Microsoft: Rogue:Win32/FakeRean


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efectos secundarios:
   • Suelta ficheros
    Falsley informa sobre la infeccin del malware o sobre los problemas del sistema, y ofrece la opcin de arreglarlos si el usuario adquiere la aplicacin.
   • Modificaciones en el registro


Inmediatamente despus de su ejecucin, muestra la siguiente informacin:


 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios%.exe



Elimina la copia inicial del virus.

 Registro Aade uno de los siguientes valores a cada clave del registro, para ejecutar los procesos al reiniciar el sistema:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%serie de caracteres aleatorios%"="%APPDATA%\%serie de caracteres aleatorios%.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="%SYSDIR%\ctfmon.exe"
   • "2806989990"="%HOME%\Local Settings\Application Data\%serie de caracteres aleatorios%.exe"



Crea las siguientes entradas para evitar el cortafuego de Windows XP:

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:00000000
   • "DoNotAllowExceptions"=dword:00000000
   • "DisableNotifications"=dword:00000001

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile]
   • "EnableFirewall"=dword:00000000
   • "DoNotAllowExceptions"=dword:00000000
   • "DisableNotifications"=dword:00000001



Aade la siguiente clave al registro:

[HKCR\.exe\shell\open\command]
   • "(Default)"="\"%HOME%\Local Settings\Application Data\%serie de caracteres aleatorios%.exe\" -a \"%1\" %*"
   • "IsolatedCommand"="\"%1\" %*"

 Informaciones diversas Accede a recursos de Internet:
   • **********owonido.com; **********ijeqipif.com;
      **********ulaxavys.com; **********ihylite.com;
      **********yhudesu.com; **********okelara.com;
      **********ekekejepuvo.com; **********osozupuf.com;
      **********tiroda.com; **********uqaroxos.com;
      **********igijito.com; **********omumehyn.com;
      **********inyfybex.com; **********izesax.com;
      **********rosoft.com; **********ihynybihy.com;
      **********yruqyn.com; **********oloquv.com;
      **********arucukom.com; **********akywuseleri.com;
      **********exyposenebi.com; **********yhixasuhu.com;
      **********ijixiwidaz.com; **********ucyvybumyka.com;
      **********ocyril.com; **********igicigisav.com;
      **********hubolype.com; **********urihezoqe.com;
      **********yvasibi.com; **********yraceke.com;
      **********icofez.com; **********olidejypo.com;
      **********uzyrywovaj.com; **********ecikodovi.com;
      **********uhuziqys.com; **********yvagyxut.com;
      **********unider.com; **********ipijuxoj.com;
      **********apehyni.com; **********ysasowebaty.com;
      **********jajyb.com; **********wiguxake.com;
      **********lyxagesop.com; **********rezaba.com;
      **********icefydyn.com; **********ebelywa.com;
      **********ybilyxu.com; **********aziweboxe.com

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Andrei Ilie el viernes 7 de octubre de 2011
Descripción actualizada por Andrei Ilie el lunes 10 de octubre de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.