Troyano que simula ser la herramienta de eliminación de software malintencionado de Microsoft. Muestra falsos mensajes de alarma o de presencia de software malicioso en el equipo para solicitar al usuario la compra de software de seguridad.
Difusión: Baja Fecha de Alta:18-05-2009
Última Actualización:18-05-2009
Daño: Bajo
Dispersibilidad: Bajo
Nombre completo: FraudTool.W32/FakePowav.B
Tipo: [FraudTool] - Programa que simula un comportamiento anormal del sistema y propone la compra de algún programa para solucionarlo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 y Vista
Alias:Trojan:Win32/FakePowav.B (Microsoft)
INFECCIÓN Y EFECTOS
Cuando se ejecuta se copia a sí mismo a la siguiente localización del equipo infectado:
* %ProgramFiles%\MalwareRemoval\MalwareRemoval.exe
Nota: %ProgramFiles% es una variable que hace referencia al directorio de instalación por defecto de aplicaciones en sistemas Windows.
Por defecto es C:\Archivos de Programa\ (Windows98/Me/2000/XP). También puede ser C:\Program Files (Windows NT) y en instalaciones de Windows en inglés.
También copia los siguientes archivos al equipo infectado:
* %ProgramFiles%\MalwareRemoval\Security Center.exe
Y crea los archivos a continuación:
* %Application Data%\1\spl.ini
* %Application Data%\MalwareRemoval\MalwareRemoval.ini
Nota: %Application Data% es una variable que hace referencia a la carpeta de Datos de Aplicación.
Por defecto es C:\Windows\Profiles\{nombre de usuario}\Application Data (Windows 98/ME), C:\WINNT\Profiles\{nombre de usuario}\Application Data (Windows NT), o C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data (Windows 2000/XP/Server 2003).
El troyano es una variante de la familia Win32/FakePowav (Microsoft) que simula ser la herramienta de eliminación de software malintencionado de Microsoft. Muestra falsos mensajes de alarma o de presencia de software malicioso en el equipo para solicitar al usuario la compra del software de seguridad. Cuando el troyano se ejecuta muestra el siguiente mensaje:
A continuación se muestra una falsa ventana de la herramienta de eliminación de software malintencionado de Microsoft que muestra el avance de un proceso de análisis del equipo para buscar código malicioso:
La falsa aplicación enumera y abre archivos y entradas del registro para aparentar que está escaneando el equipo, aunque realmente no lee ningún dato de los archivos o de las entradas del registro. Cuanod finaliza muestra la siguiente ventana:
Cuando se hace click en el botón "Finish" (finalizar) muestra la siguiente ventana:
Cuando se cierra la ventana anterior te muestra el siguiente popup de un icono de la barra de tareas del sistema:
Al hacer click en el mensaje de popup anterior se muestra la ventana de compra de software anterior ("OEM Purchase Center") y al hacer click en sus botones de compra ("purchase") se abre un navegador web que muestra una página de compra del dominio:
* oem-micro-store.com
El fichero "Security Center.exe" muestra una falsa ventana de diálogo del centro de seguridad de Windows:
El troyano no dispone de rutina de difusión propia, por lo que requiere de la participación de un usuario malicioso o de otro código malicioso para su propagación.
El método de desinfección mas eficaz contra este parásito ha sido la ejecución de la siguiente secuencia en sus modalidades mas completas de escaner y desinfección:
MalwareBytes, Superantispyware, Kaspersky Online/ESET online y en casos extremos Otmove It.
Fuente: Alerta-Antivirus.es: Detalles del virus FakePowav.B
No hay comentarios:
Publicar un comentario