VolcanoSecuritySuite
PeligrosidadDañoPropagación

Efectos 

VolcanoSecuritySuite es un programa de tipo adware que realiza las siguientes acciones:

• Llega al ordenador en un archivo con el siguiente icono:
  
  
• Después, se abre la interfaz del programa, en la que se aconseja al usuario que realice un análisis del sistema para saber si el ordenador está infectado:
  
  
• Una vez finalizado el análisis, informa al usuario de que se han detectado amenazas en el sistema y para poder eliminarlas le recomienda que pulse el botón "Protect now" (Proteger ahora):
  
  
• Entonces, el usuario será redirigido a la página web de compra de la supuesta solución antivirus:
  
  
• Si el usuario no sigue las recomendaciones del programa, se mostrarán mensajes de alerta informando al usuario sobre supuestos ataques al ordenador, como el siguiente:
  
  
  

Por otra parte, VolcanoSecuritySuite realiza las siguientes acciones:

• Cuando el usuario accede al buscador Google a través de cierta dirección IP, es redirigido a páginas en las que se alerta de que el ordenador está infectado o páginas de compra de falsos antivirus.
  La dirección IP afectada es: 74.125.45.100 y las páginas web a las que es redirigido el usuario son:
  4-open<bloqueado>inci.com
  securitysof<bloqueado>payments.com
  www.secure<bloqueado>payments.com
  www.getav<bloqueado>now.com
• Se añade a la lista de programas autorizados por el cortafuegos, para evitar ser bloqueado.
• Impide la ejeución de numerosos archivos correspondientes a programas antivirus e incluso falsos antivirus, para evitar que el antivirus instalado en el sistema no lo detecte y para que no se ejecuten los posible falsos antivirus que pudiera haber instalados en el ordenador.

Metodo de Infección 

VolcanoSecuritySuite crea las siguientes carpetas:

• Volcano Security Suite, en la ruta C:\Documents and Settings\%nombreusuario%\Datos de programa
• Backup, en la ruta en la que el usuario haya ejecutado el programa.
• VSSSys, en la ruta en la que el usuario haya ejecutado el programa y en la ruta C:\Documents and Settings\All Users\Datos de programa.
• 4208c, en la ruta C:\Documents and Settings\All Users\Datos de programa.

VolcanoSecuritySuite crea los siguientes archivos:

• VSDC6.EXE, en la ruta C:\Documents and Settings\All Users\Datos de programa\4208c. Este archivo es una copia del archivo original.
• 645655.REG, 663.MOF, VOLCANO SECURITY SUITE.LNK y VSS.ICO, en la ruta en la haya sido ejecutado el programa.
• WED.CFG, en la ruta C:\Documents and Settings\All Users\Datos de programa\WEDDSys.
• 278.MOF, WED.ICO, WINDOWS ENTERPRISE DEFENDER.LNK, VD952342.BD y VDAI.NTF, en el Escritorio.
• un grupo de programas en el menú Inicio denominado Volcano Security Suite, que contiene diversos enlaces.

VolcanoSecuritySuite modifica el archivo HOSTS de tal forma que cuando el usuario acceda al buscador Google a través de cierta dirección IP, sea redirigido a páginas en las que se alerta de que el ordenador está infectado o páginas de compra de falsos antivirus.

VolcanoSecuritySuite crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  Volcano Security Suite = C:\Documents and Settings\All Users\Datos de programa\4208c\VSdc6.exe /s /d
  Mediante esta entrada, VolcanoSecuritySuite consigue ejecutarse cada vez que Windows se inicia.
• HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplications\ List
  %ruta en la que se ha ejecutado el programa%\ 8a91d481af28374d4ff8b5f40e5d6005.exe = %ruta en la que se ha ejecutado el programa%\ 8a91d481af28374d4ff8b5f40e5d6005.exe:*:Enabled:Volcano Security Suite
• HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplications\List
  %ruta en la que se ha ejecutado el programa%\ 8a91d481af28374d4ff8b5f40e5d6005.exe = %ruta en la que se ha ejecutado el programa%\ 8a91d481af28374d4ff8b5f40e5d6005.exe:*:Enabled:Volcano Security Suite
  Mediante estas dos entradas, el programa se añade a la lista de aplicaciones autorizadas por el cortafuegos de Windows.

Además, crea numerosas entradas en el Registro de Windows que apuntan a archivos correspondientes a programas antivirus e incluso falsos antivirus para impedir que se puedan ejecutar y así dejar el ordenador desprotegido.

Una de las entradas que crea es la siguiente:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\antivirus.exe
  Debugger = svchost.exe

Método de Propagación 

VolcanoSecuritySuite puede llegar al ordenador cuando el usuario accede a ciertas páginas web, en las que se muestran banners o ventanas emergentes que llevan a la descarga de este programa. Tambien llega como un enlace para su descarga en mensajes de spam.

Otros Detalles  

VolcanoSecuritySuite tiene un tamaño de 2603521 Bytes.