Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

MySecurityEngine
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

MySecurityEngine realiza las siguientes acciones:

Cuando es ejecutado, MySecurityEngine se conecta a cierta URL y comienza el proceso de instalación del falso antivirus:
Después, comienza a realizar un análisis del sistema en busca de posible malware.
Una vez finalizado, notifica al usuario que su ordenador está infectado:
Una vez el análisis ha finalizado, muestra mensajes de alerta como el siguiente, advirtiendo de la presencia de malware en el ordenador:
Si el usuario decide eliminar las supuestas amenazas, será redirigido a la página web de compra de la supuesta solución antivirus:
Si el usuario no sigue las recomendaciones del programa, muestra mensajes de alerta recordándole que su ordenador está infectado:
Además, añade el icono correspondiente al falso antivirus en el Área de notificación:

Por otra parte, MySecurityEngine realiza las siguientes acciones:

Modifica el buscador que aparece en la opción Búsqueda del navegador Internet Explorer y lo cambia por uno seleccionado por el programa. La opción Búsqueda es la siguiente:
Impide a los usuarios acceder a páginas web correspondientes a ciertos buscadores e incluso a páginas web desde las que se descargan otros falsos programas antivirus.
Impide la ejecución de procesos relacionados con ciertos programas antivirus, cortafuegos y aplicaciones del sistema como el Administrador de tareas. Además, impide la ejecución de procesos correspondientes a falsos programas antivirus.

Metodo de Infección

MySecurityEngine crea las siguientes carpetas:

una carpeta de nombre aleatorio. En dicha carpeta crea otras carpetas con los siguientes nombres:
- MSESys
- Quarantine Items
MSAOE, en la carpeta Datos de programa del directorio Documents and Settings de todos los usuarios.
My Security Engine, en la carpeta Application Data del directorio Documents and Settings del usuario que haya iniciado sesión.
un grupo de programas denominado My Security Engine en el menú Inicio con una serie de enlaces al programa.

MySecurityEngine crea los siguientes archivos:

MS%aleatorio%.EXE, %aleatorio%.MOF y MSE.ICO, en la carpeta de nombre aleatorio creada en la ruta C:\Documents and Settings\All Users\Datos de programa.
donde %aleatorio% corresponde a caracteres aleatorios.
VD952342.BD, en la carpeta MSESys ubicada en la carpeta de nombre aleatorio que crea en la ruta C:\Documents and Settings\All Users\Datos de programa.
MSBBEGDJE.CFG, en la carpeta MSAOE que crea en la ruta C:\Documents and Settings\All Users\Datos de programa.
MY SECURITY ENGINE.LNK, en el Escritorio, en el menú Inicio y en la barra de inicio rápido de Windows. Se trata de un acceso directo al programa.

MySecurityEngine modifica el archivo HOSTS para que el usuario no pueda acceder a páginas web de ciertos buscadores y a páginas de descarga de otros programas de tipo falsos antivirus.

MySecurityEngine crea las siguientes entradas en el Registro de Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
My Security Engine = C:\Documents and Settings\All Users\Datos de programa\%carpeta aleatoria\MS%caracteres aleatorios%.exe /s /d
Mediante esta entrada, MySecurityEngine consigue ejecutarse cada vez que Windows se inicia.
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
URL = http://fi<bloqueado>gala.com/?&uid=7&q={searchTerms}
Mediante esta entrada, modifica el buscador que aparece en la opción Busqueda del navegador Internet Explorer por otro buscador seleccionado por el programa.

Además, crea numerosas entradas en el Registro de Windows del siguiente tipo:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\%nombre archivo%
Debugger = svchost.exe
donde %nombre archivo% corresponde a archivos pertenecientes a varias suites de seguridad, cortafuegos, aplicaciones como el Administrador de tareas e incluso a otros falsos programas de seguridad.
Mediante estas entradas, impide que se ejecuten los procesos correspondientes a dichos archivos.

Los siguientes son algunos ejemplos:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PerAvir.exe
Debugger =svchost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pav.exe
Debugger =svchost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcshield.exe
Debugger =svchost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32.exe
Debugger =svchost.exe
Estos archivos corresponden a diversas suites de seguridad.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zonealarm.exe
Debugger =svchost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\outpost.exe
Debugger =svchost.exe
Estos archivos corresponden a varios cortafuegos.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
Debugger =svchost.exe
Este archivo corresponde al Administrador de tareas.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\securitysoldier.exe
Debugger =svchost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PC_Antispyware2010.exe
Debugger =svchost.exe
Estos archivos corresponden a falsos programas antivirus.

Método de Propagación

MySecurityEngine puede llegar al ordenador cuando el usuario accede a ciertas páginas web, en las que se muestran banners o ventanas emergentes que llevan a la descarga de este programa. Y también puede llegar al ordenador en mensajes de spam que contienen adjuntos o enlaces que apuntan a la descarga de este programa.

Además, hemos detectado varios ataques de tipo BlackHat SEO (ver Nota) para distribuir este falso antivirus que utilizaban temas como la popular serie Perdidos (Lost), la muerte del cantante de rock Ronnie James Dio, o las elecciones en Reino Unido, entre otros.

Nota:
SEO son las siglas en inglés de Search Engine Optimization (optimización para motores de búsqueda), y básicamente se refiere a las técnicas utilizadas para conseguir que las páginas web mejoren su posicionamiento en los resultados de los motores de búsqueda (Yahoo, Google, etc.). BlackHat SEO se refiere al uso que los ciberdelincuentes hacen de las técnicas SEO para conseguir que sus páginas aparezcan en estas primeras posiciones.

Otros Detalles

MySecurityEngine tiene un tamaño de 393728 Bytes.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info


Contacto	Facebook	Twitter	Youtube	RSS