Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
YourPCProtector es un programa de tipo adware que, una vez instalado, impide al usuario trabajar con el ordenador con normalidad, ya que no permite la ejecución de los archivos que tengan extensión EXE. De hecho, cuando se ejecuta alguno de estos archivos, se muestra un mensaje como el siguiente informando al usuario que dicho archivo está infectado:
Además, realiza las siguientes acciones que son comunes a este tipo de falsos programas antivirus:
- Llega al ordenador en un archivo con el siguiente icono:
- Cuando es ejecutado e instalado, se abre la interfaz del programa y comienza a realizar un análisis en busca de posible malware:
- Una vez finalizado, muestra un mensaje de alerta informando al usuario que se han encontrado programas y documentos infectados en su ordenador:
- Si el usuario decide reparar estos archivos, el programa le solicitará que registre la licencia del falso antivirus para después redirigirle a la página web desde la que se puede adquirir el producto:
- Si por el contrario decide no seguir las instrucciones del programa, comenzarán a mostrarse una serie de diferentes mensajes molestos con el objetivo de hacer creer al usuario que su ordenador está realmente infectado.
- Algunos de los mensajes que aparecen en pantalla son como los siguientes:
- Mensajes de alerta de seguridad:
- También muestra un mensaje que simula ser del Centro de Seguridad de Windows para alertar a los usuarios de que no se ha encontrado ninguna protección antivirus en el ordenador:
Metodo de Infección
YourPCProtector crea un directorio llamado Your PC Protector en el directorio de Archivos de Programa y un grupo de programas en el menú Inicio con el mismo nombre.
YourPCProtector crea los siguientes archivos:
- YOUR PC PROTECTOR.EXE, que es una copia de sí mismo, en la carpeta Your PC Protector del directorio Archivos de programa.
- ALGGUI.EXE, SVCHOST.EXE, ADC32.DLL, WP3.DAT, WP4.DAT, NUAR.OLD y SKYNET.DAT, en el directorio Archivos de programa.
- YOUR PC PROTECTOR.LNK, en el Escritorio. Este archivo es un acceso directo al programa:
YourPCProtector crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\Software\Your PC Protector
- HKEY_CLASSES_ROOT\CLSID\{77DC0Baa-3235-4ba9-8BE8-aa9EB678FA02}
Mediante esta entrada, YourPCProtector consigue registrarse como BHO (Browser Helper Object) y así poder monitorizar las páginas web a las que accede el usuario. - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\ Your PC Protector
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd
YourPCProtector modifica la siguiente entrada del Registro de Windows, para que cada vez que se ejecute un archivo con extensión EXE, se ejecute el archivo del falso antivirus y no el archivo correspondiente:
- HKEY_CLASSES_ROOT\exefile\shell\open\command
(Default) = "%1" %*
Cambia esta entrada por:
HKEY_CLASSES_ROOT\exefile\shell\open\command
(Default) = C:\Program Files\alggui.exe "%1" %*
Método de Propagación
YourPCProtector puede llegar al ordenador cuando el usuario accede a ciertas páginas web, en las que se muestran banners o ventanas emergentes que llevan a la descarga de este programa. Y también puede llegar al ordenador en un enlace que puede ser recibido mediante mensajes de spam, páginas fraudulentas, etc.
Otros Detalles
YourPCProtector tiene un tamaño de 1057800 Bytes y está comprimido mediante UPX.