Estás en: Panda Security > Empresas > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

KillAV.FG
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

KillAV.FG realiza las siguientes acciones:

Finaliza los siguientes procesos, si se encuentran activos en memoria:
A
avciman.exe, avengine.exe, avp.exe.
C
ca.exe, caissdt.exe, cavrid.exe, cavtray.exe, ccapp.exe, ccetvmgr.exe, ccproxy.exe, ccsetmgr.exe.
D
dpasnt.exe.
F
firewallntservice.exe, fsaw.exe, fsguidll.exe, fsm32.exe, fspex.exe.
H
hsockpe.exe.
I
isafe.exe.
K
kav.exe, kavpf.exe.
M
mcagent.exe, mcdetect.exe, mcshield.exe, mctskshd.exe, mcupdate.exe, mcupdmgr.exe, mcvsescn.exe, mcvsshld.exe, mpeng.exe, mpfagent.exe, mpfservice.exe, mpftray.exe, msascui.exe, mscifapp.exe, mscorsvw.exe, msfwsvc.exe, mskagent.exe, msksrvr.exe, msmpsvc.exe, msmsgs.exe, mxtask.exe.
N
navapsvc.exe, nscsrvce.exe,.
O
oasclnt.exe.
P
pavfnsvr.exe, pavprsrv.exe, pavsrv51.exe, pnmsrv.exe, psimsvc.exe, pskmssvc.exe.
S
sdhelp.exe, sndsrvc.exe, spbbcsvc.exe, spysweeper.exe, spysweeperui.exe, srvload.exe, ssu.exe, swdoctor.exe, symlcsvc.exe.
T
tpsrv.exe, tsantispy.exe.
V
vir.exe,vrfwsvc.exe, vrmonnt.exe, vrmonsvc.exe, vsmon.exe.
W
wad-watch.exe, wdfdataservice.exe, webproxy.exe, webrootdesktopfirewall.exe, winssnotify.exe, wmiprvse.exe.
Z
zlclient.exe.
Estos procesos pertenecen, entre otros, a diversas herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos.
Se conecta a un servidor que le permite acceder remotamente el ordenador afectado.

Metodo de Infección

KillAV.FG crea los siguientes archivos:

LSASS.EXE, en el directorio de sistema de Windows. Este archivo es una copia del troyano.
ABC123.PID, en la subcarpeta %nombreusuario%\Configuración local\Temp del directorio Documents and Settings.
TIME[1].TXT en una subcarpeta determinada del directorio de archivos temporales de Internet.

KillAV.FG reemplaza los archivos existentes en las rutas del Registro de Windows mencionadas a continuación por copias suyas con el mismo nombre que los archivos originales:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Para ello, añade una subcarpeta denominada BAK en la misma ruta en la que se encuentran dichos archivos, donde almacena una copia de de los archivos originales.
De esta manera, KillAV.FG consigue ejecutarse cada vez que Windows se inicia.

KillAV.FG crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Lexmark_X79-55 = %sysdir%\lsass.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, KillAV.FG consigue ejecutarse cada vez que Windows se inicia.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ ZoneMap\ Ranges\ me
* = 02, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ ZoneMap\ Ranges\ me
Range = 88.80.5.21
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Zones\ 2
1206 = 00, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Zones\ 2
1806 = 00, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Zones\ 2
1807 = 00, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Zones\ 2
1808 = 00, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Zones\ 2
1809 = 03, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Zones\ 2
2000 = 00, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Zones\ 2
2001 = 00, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Zones\ 2
2004 = 00, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Zones\ 2
2100 = 00, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Zones\ 2
2101 = 01, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Zones\ 2
2102 = 00, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Zones\ 2
2200 = 00, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Zones\ 2
2201 = 00, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Zones\ 2
2300 = 01, 00, 00, 00
Mediante estas entradas, KillAV.FG disminuye la seguridad de Internet.

Método de Propagación

KillAV.FG no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Otros Detalles

KillAV.FG está escrito en el lenguaje de programación Visual C++ v7. Este troyano tiene un tamaño de 37388 Bytes cuando está comprimido mediante UPX y de 124197 Bytes una vez descomprimido.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info