Active Scan. Analiza Gratis tu PC
Panda Global Protection 2011

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

FTLog.A

PeligrosidadPeligrosidad bajaDañoDañinoPropagaciónPoco extendido

Efectos 

FTLog.A realiza las siguientes acciones:

  • Llega al ordenador a través de la red social Fotolog en un enlace para ver un supuesto video. Esta información está detallada más abajo en el apartado Método de propagación.
  • Si el usuario pulsa dicho enlace malicioso, se abre una página web en la que se solicita al usuario que instale un codec para poder ver el video:

    Web desde la que se descarga el supuesto codec
  • Una vez instalado el codec, redirige a los usuarios a una página web de contenido para adultos desde la que se descarga un archivo llamado SETUP.EXE:

    Web para adultos desde la que se descarga otro archivo malicioso
  • Este archivo corresponde a un plugin denominado MediaPass Plugin que una vez descargado se instala en el ordenador:

    Proceso de instalacion de MediaPass Plugin
  • Una vez instalado, se muestran las siguientes páginas web:

    - La primera de ellas corresponde a una web en la que se informa al usuario que ha ganado un premio y que para recibirlo tiene que introducir sus datos:

    Web del supuesto premio ganado por el usuario

    - La segunda a una página que contiene videos para adultos:

    Web de videos para adultos
  • Si el usuario pulsa sobre alguna de las imágenes para ver los videos, se descargará otro archivo. Una vez que es ejecutado, instala una hotbar, que permite personalizar y añadir diferentes aplicaciones al navegador.
  • Además, modifica la página de inicio y la cambia por la siguiente, un buscador que permite hacer búsquedas de páginas, videos y noticias, entre otras:

    Pagina de inicio establecida por FTLog.A 
  • Cuando el usuario está naveganco por Internet, muetra diferentes anuncios publicitarios relacionados con el tipo de páginas que visita. Esto dificulta la navegación por parte de los usuarios.

Metodo de Infección 

FTLog.A las siguientes DLLs (Librería de Enlace Dinámico) en el directorio de sistema de Windows.

  • 5SY5WVTUMOKH.DLL. Se inyecta en Internet Explorer para mostrar anuncios publicitarios mientras los usuarios están navegando por Internet.
  • T-XV0Q7O-_.DLL. Se inyecta en Firefox para mostrar anuncios publicitarios mientras los usuarios están navegando por Internet.

 

FTLog.A crea la siguiente entrada en el Registro de Windows:

  • HKEY_CURRENT_USER\Software\AppDataLow\HavingFunOnline

 

FTLog.A modifica la siguiente entrada del Registro de Windows para cambiar la página de inicio de Internet Explorer:

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    Start Page =     %página de inicio seleccionada por el usuario%
    Cambia esta entrada:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    Start Page = http://www3.iam    red.net/

Método de Propagación 

FTLog.A se distribuye a través del portal de fotoblog y red social denominado Fotolog. Para ello, publica comentarios que contienen un enlace a un supuesto video, como se puede ver en la siguiente imagen:

Comentario malicioso añadido en el Fotolog

Si el usuario pulsa el enlace, comenzará el proceso de infección por parte de FTLog.A.

Otros Detalles  

FTLog.A tiene un tamaño de 233000 Bytes.