Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

DesktopSecurity2010
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

DesktopSecurity2010 es un programa de tipo adware que presenta una característica peculiar respecto a otros falsos programas antivirus, y es que acompaña ciertos mensajes de alerta de infección con una voz femenina que dice lo siguiente:

NEW VIRUS FOUND

Además, para hacer creer al usuario que su ordenador está realmente infectado, cada cierto tiempo deja unos instantes la pantalla del ordenador negra y otras veces parpadea con diferentes colores.

DesktopSecurity2010 realiza las siguientes acciones:

Llega al ordenador en un archivo con el siguiente icono:
Cuando el usuario ejecuta este archivo, se muestra la siguiente pantalla de instalación:
Si el usuario pulsa el botón "Install Software", se iniciará el proceso de instalación del falso programa antivirus:
Una vez instalado, comienza a realizar un análisis del ordenador en busca de posible malware y mientras está analizando, muestra mensajes de alerta informando al usuario que el equipo está infectado:
Cuando finaliza el análisis, muestra un nuevo mensaje de infección, advirtiendo de la presencia de malware en el ordenador:
Si el usuario decide eliminar estas amenazas y pulsa el botón "Remove all", se abre una ventana informando al usuario que tiene que activar la licencia del producto:
Si, por el contrario, decide no seguir las instrucciones del programa, comenzarán a mostrarse una serie de diferentes mensajes molestos con el objetivo de hacer creer al usuario que su ordenador está realmente infectado y que el falso antivirus lo va a proteger de las infecciones.
Algunos de los mensajes que aparecen en pantalla son como los siguientes:

- Mensajes engañosos para notificar a los usuarios que su ordenador está protegido:

- También muestra mensajes que simulan proceder del Centro de Seguridad notificando que se han detectado diversos ataques en el sistema:
Además, cuando se reinicia el ordenador, antes de que llegue a reiniciarse, muestra un mensaje informando que el ordenador está infectado y está siendo utilizado para enviar spam, y recomienda al usuario que adquira la licencia del programa:
Si se cierra esta ventana, muestra un aviso recordando de nuevo que el ordenador se ha convertido en una plataforma para enviar spam y que se va a desconectar la conexión a Internet:

Metodo de Infección

DesktopSecurity2010 crea un directorio llamado Desktop Security 2010 en el directorio de Archivos de Programa y un grupo de programas en el menú Inicio con el mismo nombre.

DesktopSecurity2010 crea los siguientes archivos:

DESKTOP SECURITY 2010.EXE y SECURITYCENTER.EXE, en la carpeta Desktop Security 2010 del directorio Archivos de programa.
GCN2TCVWTMWS.EXE, en el directorio de sistema de Windows.
una serie de enlaces a diferentes opciones del programa en el grupo de programas Desktop Security 2010 del menú Inicio.
BACKD-EFQ.EXE, GEDX_AE09.EXE, KGN.EXE, KILSLMD.EXEX, KN.A.EXE, PERFLIB_PERFDATA_124.DAT y QWKLRVJHQLKJ.EXE, en la ruta C:\Documents and Settings\%nombreusuario%\Configuración local\Temp.
donde %nombreusuario% es el nombre de usuario del usuario que haya iniciado sesión.

DesktopSecurity2010 crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Desktop Security 2010= C:\Archivos de programa\Desktop Security 2010\Desktop Security 2010.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
gcn2tcvwtmws = %sysdir%\gcn2tcvwtmws.exe
donde %sysdir% es el directorio de sistema de Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SecurityCenter = C:\Archivos de programa\Desktop Security 2010\securitycenter.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = C:\Archivos de programa\Desktop Security 2010\Desktop Security 2010.exe
Mediante estas entradas, DesktopSecurity2010 consigue ejecutarse cada vez que Windows se inicia.
HKEY_LOCAL_MACHINE\SOFTWARE\Desktop Security 2010
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\ Desktop Security 2010

DesktopSecurity2010 modifica las siguientes entradas del Registro de Windows, para que no se inicien automáticamente el servicio de autoactualización de Windows Update y el cortafuegos de Windows respectivamente:

HKEY_LOCAL_MACHINE,SYSTEM\CurrentControlSet\Services\wuauserv
Start = 4
Cambia esta entrada por:
HKEY_LOCAL_MACHINE,SYSTEM\CurrentControlSet\Services\wuauserv
Start = 2
HKEY_LOCAL_MACHINE,SYSTEM\CurrentControlSet\Services\SharedAccess
Start = 4
Cambia esta entrada por:
HKEY_LOCAL_MACHINE,SYSTEM\CurrentControlSet\Services\SharedAccess
Start = 3

Otros Detalles

DesktopSecurity2010 tiene un tamaño de 5341184 Bytes.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info


Contacto	Facebook	Twitter	Youtube	RSS