Author: Oscar Celestino Angelo Abendan ll   
 

FakeRean, Renos, FakeAlert, FakeAlerter, Renos, FraudPack

 PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Descargado de Internet, A trav¨¦s de los sitios de redes sociales, Eliminado por otro tipo de malware, Se env¨ªa como spam v¨ªa correo electr¨®nico

Emplea la creaci¨®n del shell de registro mediante la introducci¨®n de determinadas entradas de registro. Esto permite la ejecuci¨®n de este malware aunque est¨¦n abiertas otras aplicaciones.

  TECHNICAL DETAILS

Memory resident: Yes
PAYLOAD: Displays fake alerts

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Crea las siguientes copias de s¨ª mismo en el sistema afectado:

  • %Application Data%\av.exe
  • %Application Data%\ave.exe
  • %Windows%\msa.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Infiltra los archivos siguientes:

  • %Application Data%\1S7p66
  • %Application Data%\1gx8VwiF
  • %Application Data%\3pxrV41BG
  • %Application Data%\Oiitd0ys0jFnW
  • %Application Data%\PQ608daGr
  • %Application Data%\U0k0MQl
  • %Application Data%\g1oOP77
  • %Application Data%\oY0vtai
  • %System Root%\Documents and Settings\All Users\Application Data\1S7p66
  • %System Root%\Documents and Settings\All Users\Application Data\PQ608daGr
  • %System Root%\Documents and Settings\All Users\Application Data\oY0vtai
  • %User Profile%\Templates\1S7p66
  • %User Profile%\Templates\PQ608daGr
  • %User Profile%\Templates\oY0vtai
  • %User Temp%\1S7p66
  • %User Temp%\PQ608daGr
  • %User Temp%\oY0vtai
  • %WIndows%\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job
  • %Windows%\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %System Root% es la carpeta ra¨ªz, normalmente C:\. Tambi¨¦n es la ubicaci¨®n del sistema operativo).

. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

T¨¦cnica de inicio autom¨¢tico

Emplea la generaci¨®n del shell de registro para garantizar su ejecuci¨®n cuando se accede a determinados tipos de archivo mediante la introducci¨®n de las entradas siguientes:

HKEY_CLASSES_ROOT\secfile\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%1" %*"

HKEY_CLASSES_ROOT\.exe\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%1" %*"

HKEY_CLASSES_ROOT\secfile\shell\
open\command
(Default) = ""%Application Data%\ave.exe" /START "%1" %*"

HKEY_CLASSES_ROOT\.exe\shell\
open\command
(Default) = ""%Application Data%\ave.exe" /START "%1" %*"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:

HKEY_CURRENT_USER\Software\NordBull

HKEY_CURRENT_USER\Software\4VDD85L8NF

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows
Identity = "{hex value}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
EnableFirewall = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DoNotAllowExceptions = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DisableNotifications = "1"

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_CLASSES_ROOT\.exe
(Default) = "secfile"

(Note: The default value data of the said registry entry is exefile.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe""

(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
safemode\command
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode"

(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe" -safe-mode".)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Internet Explorer\iexplore.exe""

(Note: The default value data of the said registry entry is %Program Files%\Internet Explorer\iexplore.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
open\command
(Default) = ""%Application Data%\ave.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe""

(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
safemode\command
(Default) = ""%Application Data%\ave.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode"

(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe" -safe-mode".)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
(Default) = ""%Application Data%\ave.exe" /START "%Program Files%\Internet Explorer\iexplore.exe""

(Note: The default value data of the said registry entry is %Program Files%\Internet Explorer\iexplore.exe.)

Verwandte Blog-Eintr?ge