Active Scan. Analiza Gratis tu PC
Panda Global Protection 2011

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

FakeDeath.A

PeligrosidadPeligrosidad bajaDañoDañinoPropagaciónPoco extendido

Efectos 

FakeDeath.A descarga diversas variantes de troyanos pertenecientes a la familia Banker en el ordenador afectado y las distribuye a través de directorios compartidos correspondientes a canales de chat como mIRC, My Shared Folder y programas P2P como eDonkey y KaZaA.

Para ello, realiza el siguiente proceso:

  • Utiliza nombres atractivos para denominar las copias de los troyanos bancarios. Algunos de ellos son los siguientes:
    ADAWARE2008FULL.RAR.SCR
    AHEAD_NERO_9_NEW!_FULL+CRACK.ZIP.SCR
    ANTISPYWARE.RAR.SCR
    ANTIVIRUS.RAR.SCR
    CRACKJUEGOS.RAR.SCR
    HACKEARSMS.RAR.SCR
    ICQ_2008_NEW!_FULL+CRACK.ZIP.SCR
    KEYGENNORTON.RAR.SCR
    MAILER.RAR.SCR
    MANDARSMSMEXICO.SCR
    MEXICOCRACK.EXE
    MODELOSSEXYS.AVI.SCR
    ONLINESEX.EXE
    PANDA2008.RAR.SCR
    REGARGADECELULAR.EXE
    SEXOGRATIS.EXE
    SMSGRATIS.EXE
    SUBSEVEN2008.RAR.SCR
    VIDEOSXXX.AVI.SCR
    VISTACRACK.RAR.SCR
    WEBCAM.RAR.SCR
    WEBCAMSGRATIS.EXE
    WINAMPFULL.RAR.SCR
  • Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos correspondientes a los troyanos bancarios, pensando que se trata de aplicaciones informáticas interesantes, software pirateado, etc.
  • Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por diversas variantes de troyanos bancarios.
  • Las variantes pertenecientes a la familia de troyanos Banker están diseñados para obtener información confidencial, como contraseñas, del ordenador afectado.

 

Además, realiza varias modificaciones en el Registro de Windows del ordenador afectado, que tienen las siguientes consecuencias:

  • Deshabilita el Administrador de Tareas, lo que impediría al usuario visualizar los procesos que están en ejecución.
  • Deshabilita la opción del menú Inicio denominada Apagar y Cerrar sesión, por lo que el usuario no podrá apagar el ordenador ni cerrar sesión a través del menú Inicio.
  • Impide modificar la configuración de los elementos del menú Inicio.

Metodo de Infección 

FakeDeath.A crea los siguientes archivos en el directorio de Windows, que corresponden a diversas variantes de troyanos de la familia Banker:

 

FakeDeath.A crea las siguientes entradas en el Registro de Windows:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
    DisableTaskMgr = 01, 00, 00, 00
    Deshabilita el Administrador de Tareas.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
    NoClose = 1
    No aparece la opción Apagar del menu Inicio e impide la ejecución del comando shutdown a través de la consola de comandos. (CMD.EXE)
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
    NoLogOff = 1
    No muestra la opción de Cerrar sesión en el menú Inicio.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
    NoChangeStartMenu = 1
    No permite realizar la acción de "arrastrar y soltar" elementos en el menú Inicio.

 

FakeDeath.A modifica las siguientes entradas del Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ WindowsNT\ CurrentVersion\ Winlogon
    Shell = Explorer.exe
    Cambia esta entrada por:
    HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ WindowsNT\ CurrentVersion\ Winlogon
    Shell = Explorer.exe %windir%\services.exe
    donde %windir% es el directorio de Windows.
    Mediante esta entrada, el archivo correspondiente a una variante del Banker consigue ejecutarse cada vez que Windows se inicia.
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess
    Start = 03, 00, 00, 00
    Cambia esta entrada por:
    HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess
    Start = 04, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess
    Start = 03, 00, 00, 00
    Cambia esta entrada por:
    HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess
    Start = 04, 00, 00, 00
    Mediante estas dos modificaciones, FakeDeath.A abre los recursos compartidos del ordenador afectado.
  • HKEY_CURRENT_USER\ SessionInformation
    ProgramCount = 05, 00, 00, 00
    Cambia esta entrada por:
    HKEY_CURRENT_USER\ SessionInformation
    ProgramCount = 6, 00, 00, 00
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Connections
    DefaultConnectionSettings = 3C, 00, 00, 00, 33, 00, 00, 00, 09, 00, 00, 00, 0B, 00, 00, 00, 62, 69, 6F, 70, 72, 6F, 78, 79, 3A, 38, 30, 07, 00, 00, 00, 3C, 6C, 6F, 63, 61, 6C, 3E, 00, 00, 00, 00, 05, 00, 00, 00, 00, 00, 00, 00, F0, 23, 0C, DF, 0A, 81, C8, 01, 01, 00, 00, 00, C0, A8, 05, 80, 00, 00, 00, 00, 00, 00, 00, 00
    Cambia esta entrada por:
    HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Connections
    DefaultConnectionSettings = 3C, 00, 00, 00, 36, 00, 00, 00, 09, 00, 00, 00, 0B, 00, 00, 00, 62, 69, 6F, 70, 72, 6F, 78, 79, 3A, 38, 30, 07, 00, 00, 00, 3C, 6C, 6F, 63, 61, 6C, 3E, 00, 00, 00, 00, 05, 00, 00, 00, 00, 00, 00, 00, 80, BF, A5, 94, 89, 82, C8, 01, 01, 00, 00, 00, C0, A8, 8B, 80, 00, 00, 00, 00, 00, 00, 00, 00
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Connections
    SavedLegacySettings = 3C, 00, 00, 00, 52, 00, 00, 00, 09, 00, 00, 00, 0B, 00, 00, 00, 62, 69, 6F, 70, 72, 6F, 78, 79, 3A, 38, 30, 07, 00, 00, 00, 3C, 6C, 6F, 63, 61, 6C, 3E, 00, 00, 00, 00, 05, 00, 00, 00, 00, 00, 00, 00, 90, F3, 50, DF, 35, 7E, C8, 01, 01, 00, 00, 00, C0, A8, 00, 82, 00, 00, 00, 00, 00, 00, 00, 00
    Cambia esta entrada por:
    HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Connections
    SavedLegacySettings = 3C, 00, 00, 00, 56, 00, 00, 00, 09, 00, 00, 00, 0B, 00, 00, 00, 62, 69, 6F, 70, 72, 6F, 78, 79, 3A, 38, 30, 07, 00, 00, 00, 3C, 6C, 6F, 63, 61, 6C, 3E, 00, 00, 00, 00, 05, 00, 00, 00, 00, 00, 00, 00, 80, BF, A5, 94, 89, 82, C8, 01, 01, 00, 00, 00, C0, A8, 8B, 80, 00, 00, 00, 00, 00, 00, 00, 00

Método de Propagación 

FakeDeath.A llega al ordenador en un archivo con el icono de una foto:

Icono con el que llega FakeDeath.A al ordenador

Si se ejecuta dicho archivo, el usuario será redireccionado a una página web en la que se muestra una noticia de 1997 sobre la falsa muerte de Fidel Castro:

Imagen de la pagina web que nuestra la falsa noticia

 

Además, FakeDeath.A se propaga a través de unidades tanto mapeadas como compartidas, realizando copias de sí mismo en ellas.

Otros Detalles  

FakeDeath.A está escrito en el lenguaje de programación Delphi v.5. Este gusano tiene un tamaño de 30208 Bytes.
Soporte técnico
Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info