WinEnterpriseDefender
PeligrosidadDañoPropagación

Efectos 

WinEnterpriseDefender es un programa de tipo adware que realiza las siguientes acciones:

• Una vez instalado, crea un icono en el Escritorio y un enlace para acceder directamente al programa:
  
  
• Después, se abre la interfaz del programa, en la que se aconseja al usuario que realice un análisis del sistema para saber si el ordenador está infectado:
  
  
• Una vez finalizado el análisis, informa al usuario de que se han detectado amenazas en el sistema y para poder eliminarlas le recomienda que pulse el botón "Proteger ahora":
  
  
• Entonces, el usuario será redirigido a la página web de compra de la supuesta solución antivirus:
  
  
• Si el usuario no sigue las recomendaciones del programa, se mostrarán mensajes de alerta informando al usuario sobre supuestos ataques al ordenador. Algunos ejemplos son los siguientes:
  
  
  
  

Por otra parte, WinEnterpriseDefender realiza las siguientes acciones:

• Redirecciona las páginas de buscadores a la dirección: http://search<bloqueado>ala.com, que muestra resultados seleccionados por el ciber-delincuente.
• Se añade a la lista de programas autorizados por el cortafuegos, para evitar ser bloqueado.
• Finaliza los procesos relacionados con programas antivirus que estén activos.

Metodo de Infección 

WinEnterpriseDefender crea las siguientes carpetas:

• WEDDSys, en el Escritorio y en la ruta C:\Documents and Settings\All Users\Datos de programa
• 9e52d, en la ruta C:\Documents and Settings\All Users\Datos de programa

WinEnterpriseDefender crea los siguientes archivos:

• WE7D0.EXE, en la ruta C:\Documents and Settings\All Users\Datos de programa\9e52d.
• WED.CFG, en la ruta C:\Documents and Settings\All Users\Datos de programa\WEDDSys.
• 278.MOF, WED.ICO, WINDOWS ENTERPRISE DEFENDER.LNK, VD952342.BD y VDAI.NTF, en el Escritorio.
• WINDOWS ENTERPRISE DEFENDER.LNK, en la ruta C:\Documents and Settings\%nombreusuario%\Datos de programa\Microsoft\Internet Explorer\Quick Launch
• un grupo de programas en el menú Inicio denominado Windows Enterprise Defender, que contiene diversos enlaces.

WinEnterpriseDefender modifica el archivo HOSTS para que el usuario no pueda acceder a páginas web de buscadores.

WinEnterpriseDefender crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  Windows Enterprise Defender = C:\Documents and Settings\All Users\Datos de programa\9e52d\WE7d0.exe /s /d 
  Mediante esta entrada, WinEnterpriseDefender consigue ejecutarse cada vez que Windows se inicia.

• HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
  URL = http://search-gala.com/?&uid=7&q={searchTerms} 
  Mediante esta entrada, redirecciona las páginas web de los buscadores a un buscador concreto.
• HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplications\ List
  %ruta en la que se ha ejecutado el programa%\00015289-0001.WEf82d.exe = %ruta en la que se ha ejecutado el programa%\00015289-0001.WEf82d.exe:*:Enabled:Windows Enterprise Defender 
  Se añade a la lista de aplicaciones autorizadas por el cortafuegos de Windows.
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  Debugger = svchost.exe
  Mediante esta entrada, finaliza todos los procesos correspondientes a programas antivirus.

Método de Propagación 

WinEnterpriseDefender puede llegar al ordenador cuando el usuario accede a ciertas páginas web, en las que se muestran banners o ventanas emergentes que llevan a la descarga de este programa. Tambien llega como un enlace para su descarga en mensajes de spam.

Otros Detalles  

WinEnterpriseDefender tiene un tamaño de 2228224 Bytes.