Troyano que simula ser la herramienta de eliminación de software
malintencionado de Microsoft. Muestra falsos mensajes de alarma o de
presencia de software malicioso en el equipo para solicitar al usuario
la compra de software de seguridad.<br> <br>
Difusión: Baja Fecha de Alta:18-05-2009<br>
Última Actualización:18-05-2009<br> <br>
Daño: Bajo<br> <br>
Dispersibilidad: Bajo<br> <br>
Nombre completo: FraudTool.W32/FakePowav.B <br> <br>
Tipo: [FraudTool] - Programa que simula un comportamiento anormal del
sistema y propone la compra de algún programa para solucionarlo.<br>
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en
Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 y Vista<br>
Alias:Trojan:Win32/FakePowav.B (Microsoft)<br> <br> <font
color="Red"><font size="3">INFECCIÓN Y EFECTOS</font></font><br> <br>
Cuando se ejecuta se copia a sí mismo a la siguiente localización del
equipo infectado:<br> <br>
* %ProgramFiles%\MalwareRemoval\MalwareRemoval.exe<br> <br>
Nota: %ProgramFiles% es una variable que hace referencia al directorio
de instalación por defecto de aplicaciones en sistemas Windows.<br>
Por defecto es C:\Archivos de Programa\ (Windows98/Me/2000/XP).
También puede ser C:\Program Files (Windows NT) y en instalaciones de
Windows en inglés.<br> <br>
También copia los siguientes archivos al equipo infectado:<br> <br>
* %ProgramFiles%\MalwareRemoval\Security Center.exe<br> <br>
Y crea los archivos a continuación:<br> <br>
* %Application Data%\1\spl.ini<br>
* %Application Data%\MalwareRemoval\MalwareRemoval.ini<br> <br>
Nota: %Application Data% es una variable que hace referencia a la
carpeta de Datos de Aplicación.<br>
Por defecto es C:\Windows\Profiles\{nombre de usuario}\Application
Data (Windows 98/ME), C:\WINNT\Profiles\{nombre de
usuario}\Application Data (Windows NT), o C:\Documents and
Settings\{nombre de usuario}\Local Settings\Application Data (Windows
2000/XP/Server 2003).<br> <br>
El troyano es una variante de la familia Win32/FakePowav (Microsoft)
que simula ser la herramienta de eliminación de software
malintencionado de Microsoft. Muestra falsos mensajes de alarma o de
presencia de software malicioso en el equipo para solicitar al usuario
la compra del software de seguridad. Cuando el troyano se ejecuta
muestra el siguiente mensaje:<br> <br> <a target="_blank"
href="http://alerta-antivirus.inteco.es/imagenes/virus/FakePowaw.B.1.jpg"
rel="lytebox"><img
src="http://alerta-antivirus.inteco.es/imagenes/virus/FakePowaw.B.1.jpg"
alt="" border="0"></a><br> <br>
A continuación se muestra una falsa ventana de la herramienta de
eliminación de software malintencionado de Microsoft que muestra el
avance de un proceso de análisis del equipo para buscar código
malicioso:<br> <br> <a target="_blank"
href="http://alerta-antivirus.inteco.es/imagenes/virus/FakePowaw.B.2.jpg"
rel="lytebox"><img
src="http://alerta-antivirus.inteco.es/imagenes/virus/FakePowaw.B.2.jpg"
alt="" border="0"></a><br> <br>
La falsa aplicación enumera y abre archivos y entradas del registro
para aparentar que está escaneando el equipo, aunque realmente no lee
ningún dato de los archivos o de las entradas del registro. Cuanod
finaliza muestra la siguiente ventana:<br> <br> <a target="_blank"
href="http://alerta-antivirus.inteco.es/imagenes/virus/FakePowaw.B.3.jpg"
rel="lytebox"><img
src="http://alerta-antivirus.inteco.es/imagenes/virus/FakePowaw.B.3.jpg"
alt="" border="0"></a><br> <br>
Cuando se hace click en el botón "Finish" (finalizar) muestra la
siguiente ventana:<br> <br> <a target="_blank"
href="http://alerta-antivirus.inteco.es/imagenes/virus/FakePowaw.B.4.jpg"
rel="lytebox"><img
src="http://alerta-antivirus.inteco.es/imagenes/virus/FakePowaw.B.4.jpg"
alt="" border="0"></a><br> <br>
Cuando se cierra la ventana anterior te muestra el siguiente popup de
un icono de la barra de tareas del sistema:<br> <br> <a
target="_blank"
href="http://alerta-antivirus.inteco.es/imagenes/virus/FakePowaw.B.5.jpg"
rel="lytebox"><img
src="http://alerta-antivirus.inteco.es/imagenes/virus/FakePowaw.B.5.jpg"
alt="" border="0"></a><br> <br>
Al hacer click en el mensaje de popup anterior se muestra la ventana
de compra de software anterior ("OEM Purchase Center") y al hacer
click en sus botones de compra ("purchase") se abre un navegador web
que muestra una página de compra del dominio:<br> <br>
* oem-micro-store.com<br> <br>
El fichero "Security Center.exe" muestra una falsa ventana de diálogo
del centro de seguridad de Windows:<br> <br> <a target="_blank"
href="http://alerta-antivirus.inteco.es/imagenes/virus/FakePowaw.B.6.jpg"
rel="lytebox"><img
src="http://alerta-antivirus.inteco.es/imagenes/virus/FakePowaw.B.6.jpg"
alt="" border="0"></a><br> <br>
El troyano no dispone de rutina de difusión propia, por lo que
requiere de la participación de un usuario malicioso o de otro código
malicioso para su propagación. <br> <br>
El método de desinfección mas eficaz contra este parásito ha sido la
ejecución de la siguiente secuencia en sus modalidades mas completas
de escaner y desinfección:<br> <br>
MalwareBytes, Superantispyware, Kaspersky Online/ESET online y en
casos extremos Otmove It.<br> <br>
Fuente: <a href="http://alerta-antivirus.inteco.es/virus/detalle_virus.html?cod=8827"
target="_blank">Alerta-Antivirus.es: Detalles del virus
FakePowav.B</a>
No hay comentarios:
Publicar un comentario