TROJ_FAKEAV.OCG
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo di minaccia informatica:
Trojan
Distruttivo?:
No
Crittografato?:
Sì
In the wild::
Sì
Panoramica e descrizione
Dettagli tecnici
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:
- %All Users Profile%\Application Data\hVrs3n33\hVrs3n33.exe
Infiltra los archivos siguientes:
- %User Profile%\Desktop\Antivirus Security Pro support.url
- %User Profile%\Desktop\Antivirus Security Pro.lnk
- %User Profile%\Start Menu\Programs\Antivirus Security Pro\Antivirus Security Pro support.url
- %User Profile%\Start Menu\Programs\Antivirus Security Pro\Antivirus Security Pro.lnk
- %All Users Profile%\Application Data\hVrs3n33\hVrs3n33.ico
- %All Users Profile%\Application Data\hVrs3n33\hVrs3n33NwixDxva.in
- %All Users Profile%\Application Data\hVrs3n33\hVrs3n33NwixDxva.lg
- %All Users Profile%\Application Data\hVrs3n33\serv.bat
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Crea las carpetas siguientes:
- %User Profile%\Start Menu\Programs\Antivirus Security Pro
- %All Users Profile%\Application Data\hVrs3n3
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
AS2014 = "%All Users Profile%\Application Data\hVrs3n33\hVrs3n33.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
AS2014 = "%All Users Profile%\Application Data\hVrs3n33\hVrs3n33.exe"
Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,,%All Users Profile%\Application Data\hVrs3n33\hVrs3n33.exe -sm,"
(Note: The default value data of the said registry entry is %System%\userinit.exe,.)
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Control Panel\don't load
wscui.cpl = "No"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\New Windows
AllowHTTPS = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusOverride = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallOverride = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UpdatesDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableVirtualization = "0"
Este malware modifica la(s) siguiente(s) entrada(s)/clave(s) de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
CheckExeSignatures = "no"
(Note: The default value data of the said registry entry is yes.)
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Play_Background_Sounds = "no"
(Note: The default value data of the said registry entry is yes.)
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Play_Animations = "no"
(Note: The default value data of the said registry entry is yes.)
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\New Windows
PopupMgr = "no"
(Note: The default value data of the said registry entry is yes.)
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\New Windows
PlaySound = "0"
(Note: The default value data of the said registry entry is 1.)
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Security
Sending_Security = "Low"
(Note: The default value data of the said registry entry is Medium.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "2"
(Note: The default value data of the said registry entry is 3.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"
(Note: The default value data of the said registry entry is 2.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"
(Note: The default value data of the said registry entry is 2.)
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\New Windows
PlaySound = "0"
(Note: The default value data of the said registry entry is 1.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"
(Note: The default value data of the said registry entry is 2.)