FakeAV.DZU
Troyano para la plataforma Windows que modifica el registro para llevar a cabo acciones maliciosas
Detalles técnicos
Nombre completo del virus: Trojan.Multi/FakeAV.DZU
Troyano para la plataforma Windows que modifica el registro para llevar a cabo acciones maliciosas
Nombre completo del virus: Trojan.Multi/FakeAV.DZU
Tipo de código: Trojan
Plataformas afectadas: Multi: Afecta a las plataformas W32 Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95/ W64
Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
Alias:
Carece de rutina propia de propagación.
Cuando FakeAV.DZU se ejecuta, realiza las siguientes acciones:
El troyano no dispone de rutina de difusión propia, por lo que requiere de la participación de un usuario malicioso o de otro código malicioso para su propagación.
Troyano para la plataforma Windows que permanece residente en el sistema y modifica varias claves del registro para disminuir la seguridad del sistema infectado.
Crea las siguientes entradas del registro de Windows para ejecutarse de nuevo con cada reinicio del sistema:
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Valor: {89445BCE-E999-1DC9-1DAB-5CED565840C2} = "c:Documents and Settingstest userApplication DataQiokututycm.exe"
Clave: HKCUSoftwareMicrosoftInternet ExplorerPrivacy Valor: CleanCookies = 0x00000000
Clave: HKCUSoftwareMicrosoftReozo Valor: Boymdok = a7 c3 d3 24 1f 7e 3b 25 e4 a2 5c 8b 57 99 07 7c 5f 99 63 2c 6b 56 3a 32 cf cc d4 9c e5 93 b0 6d a3 79 96 e9 8a 36 31 c6 66 de ca 9a 52 6b 78 78 1e 43 13 0b 5b 6c 9e 6e 08 f2 ce 23 70 22 dd 16 7a 8d 90 f0 54 0f f6 f0 9e 62 49 2c 4c 27 56 a5 c1 7e f7 21 28 80 9b 7e 61 b1 08 50 22 89 49 13 2f 9e c5 cb 83 07 54 f5 0c 02 cd b4 3d 09 fe 28 59 d3 a7 1b 21 d4 94 7f a5 42 82 75 51 bb aa 8c 7e f6 b6 a5 df e3 5e 0f f7 a3 71 58 13 3c 39 d8 c1 a9 a7 ef c9 07 99 d2 4c 3d a4 58 ad f1 20 03 1c ba 8a bc 35 90 5f cf d4 9e f2 76 d9 38 eb d8 18 b6 f6 54 a1 69 1d cc 22 8f 5b 16 d6 77 8f c3 41 8c 6d 9a 97 dd 60 00 87 51 7b b9 8f 83 c1 76 1a 5b 4e fe 32 e0 be 9b 2f ad 06 a5 24 70 6e 49 3e f8 98 23 16 fc a7 3d 79 10 b1 42 7e 3a 2f 9a 57 73 6f 66 06 94 ad a1 58 16 3d fe ed 78 a9 c2 [... 59010 intervening characters ...] 70 4c 38 c7 fd fa 9d 28 d5 7a 2d 09 61 ba c0 e5 3b a9 3f 46 60 f4 69 ae b4 8c c4 d0 27 bb 37 bf 78 68 58 bc 62 eb 49 9b c6 61 1a 0a 79 43 20 ba 9a 2d 4b 67 3a 75 e1 23 87 fa e8 f4 c2 51 28 c1
Modifica las siguientes entradas del registro de Windows para ejecutarse de nuevo con cada reinicio del sistema:
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones Valor: 1609 = 0x00000000
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones4 Valor: 1609 = 0x00000000
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones2 Valor: 1609 = 0x00000000
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones1 Valor: 1609 = 0x00000000
El troyano realiza las siguientes peticiones HTTP:
Realiza las siguientes peticiones de DNS
Nota: %Application Data% es una variable que hace referencia a la carpeta de Datos de Aplicación.
C:WINNTProfiles{nombre de usuario}Application Data (Windows NT), o C:Documents and Settings{nombre de usuario}Local SettingsApplication Data (Windows 2000/XP/Server 2003) o C:usuarios{nombre de usuario}AppData (Windows Vista y 7)
Elimine las siguientes entradas del registro:
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Valor: {89445BCE-E999-1DC9-1DAB-5CED565840C2} = "c:Documents and Settingstest userApplication DataQiokututycm.exe"
Clave: HKCUSoftwareMicrosoftInternet ExplorerPrivacy Valor: CleanCookies = 0x00000000
Clave: HKCUSoftwareMicrosoftReozo Valor: Boymdok = a7 c3 d3 24 1f 7e 3b 25 e4 a2 5c 8b 57 99 07 7c 5f 99 63 2c 6b 56 3a 32 cf cc d4 9c e5 93 b0 6d a3 79 96 e9 8a 36 31 c6 66 de ca 9a 52 6b 78 78 1e 43 13 0b 5b 6c 9e 6e 08 f2 ce 23 70 22 dd 16 7a 8d 90 f0 54 0f f6 f0 9e 62 49 2c 4c 27 56 a5 c1 7e f7 21 28 80 9b 7e 61 b1 08 50 22 89 49 13 2f 9e c5 cb 83 07 54 f5 0c 02 cd b4 3d 09 fe 28 59 d3 a7 1b 21 d4 94 7f a5 42 82 75 51 bb aa 8c 7e f6 b6 a5 df e3 5e 0f f7 a3 71 58 13 3c 39 d8 c1 a9 a7 ef c9 07 99 d2 4c 3d a4 58 ad f1 20 03 1c ba 8a bc 35 90 5f cf d4 9e f2 76 d9 38 eb d8 18 b6 f6 54 a1 69 1d cc 22 8f 5b 16 d6 77 8f c3 41 8c 6d 9a 97 dd 60 00 87 51 7b b9 8f 83 c1 76 1a 5b 4e fe 32 e0 be 9b 2f ad 06 a5 24 70 6e 49 3e f8 98 23 16 fc a7 3d 79 10 b1 42 7e 3a 2f 9a 57 73 6f 66 06 94 ad a1 58 16 3d fe ed 78 a9 c2 [... 59010 intervening characters ...] 70 4c 38 c7 fd fa 9d 28 d5 7a 2d 09 61 ba c0 e5 3b a9 3f 46 60 f4 69 ae b4 8c c4 d0 27 bb 37 bf 78 68 58 bc 62 eb 49 9b c6 61 1a 0a 79 43 20 ba 9a 2d 4b 67 3a 75 e1 23 87 fa e8 f4 c2 51 28 c1
Nota: %Application Data% es una variable que hace referencia a la carpeta de Datos de Aplicación.
C:WINNTProfiles{nombre de usuario}Application Data (Windows NT), o C:Documents and Settings{nombre de usuario}Local SettingsApplication Data (Windows 2000/XP/Server 2003) o C:usuarios{nombre de usuario}AppData (Windows Vista y 7)
Restaure las siguientes entradas de registro a su valor original:
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones Valor: 1609 = 0x00000000
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones4 Valor: 1609 = 0x00000000
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones2 Valor: 1609 = 0x00000000
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones1 Valor: 1609 = 0x00000000
Troyano para la plataforma Windows que se hace pasar por un cliente de mensajería, deshabilita el administrador de tareas, impide la modificación de las opciones de carpeta de Windows y modifica la página de inicio de Internet Explorer
Nombre completo del virus: Trojan.W32/Tupym.C@Otros
El troyano no dispone de rutina propia de propagación. En estos casos, el malware suele llegar al sistema:
Los sintomas de infección de este troyano son los siguientes:
Cuando Tupym.C se ejecuta, realiza las siguientes acciones:
Clave: HKLMSOFTWAREMicrosoftInternet ExplorerMain Valor: Search Page = http://www.mydreamworld.50webs.com
Modifica la entrada del registro
Clave: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Valor: Shell = Explorer.exe system3_.exe
Modifica la entrada del registro
Clave: HKCUSoftwareMicrosoftInternet ExplorerMain Valor: Start Page = http://www.mydreamworld.50webs.com
Clave: HKLMSYSTEMCurrentControlSetServicesSchedule Valor: AtTaskMaxHours = 0x00000000
Crea la siguiente entrada del registro
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionRun Valor: Yahoo Messengger = <em>%System%</em>system3_.exe
Crea la siguiente entrada del registro
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem Valor: DisableTaskMgr = 0x00000001
Crea la siguiente entrada del registro
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer Valor: NofolderOptions = 0x00000001
Crea la siguiente entrada del registro
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings Valor: GlobalUserOffline = 0x00000000
El troyano se descarga los siguientes ficheros remotos:
Procure no visitar páginas de origen dudoso, que abran muchas ventanas emergentes, con direcciones extrañas o con aspecto poco fiable. Mantenga actualizado su navegador y su sistema operativo con los ultimos parches que vayan publicándose. No olvide tener instalado un antivirus actualizado en sus sistemas.
Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:Windowssystem (Windows 95/98/Me/XP) o C:Windowssystem32 (Windows NT/2000).
Nota: A Menudo los antivirus informan de que ‘no puede reparar un fichero’ en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionRun Valor: Yahoo Messengger = %system%system3_.exe
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem Valor: DisableTaskMgr = 0x00000001
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer Valor: NofolderOptions = 0x00000001
Clave: HKLMSYSTEMCurrentControlSetServicesSchedule Valor: AtTaskMaxHours = 0x00000000
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings Valor: GlobalUserOffline = 0x00000000
Modifique las siguientes entradas del registro y vuelva a dejar su valor original:
Clave: HKLMSYSTEMCurrentControlSetServicesSchedule Valor: AtTaskMaxHours = 0x00000000 Valor por defecto: AtTaskMaxHours = 0x00000048
Clave: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Valor: Shell = Explorer.exe system3_.exe Valor por defecto: Shell = Explorer.exe
Clave: HKLMSOFTWAREMicrosoftInternet ExplorerMain Valor: Search Page = http://www.mydreamworld.50webs.com Valor por defecto: Search Page = http://www.google.es
0 comentarios
Deja un comentario