Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Active Scan. Analiza Gratis tu PC

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

FakeWindows.A
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

FakeWindows.A se hace pasar por el proceso de activación de la licencia de Windows XP (MSOOBE.EXE) que evita que su producto Windows pueda ser utilizado como software pirata.

FakeWindows.A realiza las siguientes acciones:

Cuando es ejecutado, se copia en el sistema con el nombre MSOOBE32.EXE y se elimina de la ruta en la que ha sido ejecutado.
Cuando el ordenador se reinicia, se muestra en pantalla un aviso, supuestamente de Windows, solicitando al usuario que active su copia de Windows para evitar el uso de software pirata:

Aparece resaltado el texto en el que se informa al usuario que se solicitarán sus datos bancarios, pero que no se le realizará ningún cargo en su cuenta.
Si el usuario decide ignorar la solicitud y selecciona la opción No, I will do it later, y pulsa el botón Next, se apagará el ordenador.
Si el usuario decide activar Windows y pulsa el botón Next, se abre una ventana en la que se solicita al usuario que rellene una serie de datos, entre los que se incluyen sus datos bancarios:
Una vez introducidos, se muestra una ventana informando que se está realizando la verificación de los datos:
Al cabo de un tiempo, se muestra un mensaje de error de conexión:
Si se pulsa sobre Reintentar, se volverá a realizar la verificación de los datos y volverá a aparecer el mensaje de error.
Si se pulsa sobre Cancelar, el ordenador se quedará bloqueado.

Metodo de Infección

FakeWindows.A crea el archivo MSOOBE32.EXE, que es una copia del troyano, en el directorio de sistema de Windows.

El archivo original de Windows en realidad se llama MSOOBE.EXE y está ubicado dentro de la carpeta oobe del directorio de sistema de Windows.

FakeWindows.A crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
%sysdir%\msoobe32.exe
donde %sysdir% es el directorio de sistema de Windows.
HKEY_CURRENT_USER\ S-1-21-790525478-1078081533-839522115-500\ SOFTWARE\ Microsoft\ windows\ CurrentVersion\ Run
%sysdir%\msoobe32.exe
Mediante estas entradas, FakeWindows.A consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación

FakeWindows.A llega al ordenador en un archivo con el nombre MS00BE32.EXE y que tiene el icono de unas llaves:

Sin embargo, FakeWindows.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Otros Detalles

FakeWindows.A tiene un tamaño de 408064 Bytes.

Panda Security - Oferta Especial

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info