Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

SpywareCleaner2010
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

SpywareCleaner2010 es un falso antivirus que realiza las siguientes acciones:

Cuando es ejecutado, comienza el proceso de instalación del programa:
Una vez instalado en el ordenador, se abre la interfaz principal del programa y aparece un mensaje notificando al usuario que se trata de una versión de prueba gratuita:
Si el usuario selecciona la opción gratuita, el programa simula una actualización y después comienza a realizar un análisis del sistema en busca de posible malware.
El resultado de ese análisis es que el ordenador está infectado con diferente tipo de malware, como se puede ver en la siguiente imagen:
Si el usuario decide eliminar las supuestas amenazas, el programa le solicitará que introduzca un número de serie para poder registrarse. En caso de que éste no sea correcto, mostrará un mensaje de error como el siguiente:
Como el usuario no tiene el número de serie del producto, le dará la opción de adquirirlo a través de su página web de compra:

Metodo de Infección

SpywareCleaner2010 crea las siguientes carpetas:

rnsafe, en el directorio de Archivos de programa.
Data, Quarantine, UP y UpTemp, en la carpeta rnsafe del directorio de Archivos de programa.
un grupo de programas llamado Spyware Cleaner 2010 V4.05 en el menú Inicio, con una serie de enlaces a las diferentes opciones del falso antivirus:

SpywareCleaner2010 crea los siguientes archivos en la carpeta rnsafe del directorio Archivos de programa:

SPYWARECLEANER.EXE (archivo principal), RNSCAN.EXE (que realiza el análisis del sistema), UNINS000.EXE (desinstalador del programa), RNHOSTS.EXE, RNJKC.EXE, RNRC.EXE, RNRECYCEL.EXE, RNRELY.EXE, RNSETTINGS.EXE, RNSTARTUP.EXE, RNTEMP.EXE, RNUP.EXE y RNUPDATE.EXE.
RNAST.DAR, RNAXS.SQ, RNDES.ASW, RNDRV.SYS, RNDTH.ST, RNEL.BB, RNIG02.DST, RNQIZ.BA, RNRCP.BB, RNREC.DAT, RNRIC.BB, RNSAFE.URL, RNSO1.BB, RNWAD.AS, UP.RN y UPDATE.INI.

Además, SpywareCleaner2010 crea estos otros archivos:

SPYWARE CLEANER 2010 V4.05.LNK, en el Escritorio. Este archivo es un acceso directo al programa:
SPYWARE CLEANER 2010 V4.05.LNK, en la bandeja de acceso rápido en Windows.

SpywareCleaner2010 crea las siguientes entradas en el Registro de Windows:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
url1 = http://www.rnfe.com/
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*
a = %ruta en la que ha sido ejecutado%\rnsetup.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe
a = %ruta en la que ha sido ejecutado%\rnsetup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0D87E4C9-67E9-4AAD-96E6-D70B3F15F8A3}_is1
DisplayName = Spyware Cleaner 2010 V4.05
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0D87E4C9-67E9-4AAD-96E6-D70B3F15F8A3}_is1
HelpLink = http://www.rnfe.com/
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0D87E4C9-67E9-4AAD-96E6-D70B3F15F8A3}_is1
Inno Setup: App Path = C:\Archivos de programa\rnsafe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0D87E4C9-67E9-4AAD-96E6-D70B3F15F8A3}_is1
Inno Setup: Selected Tasks = desktopicon,quicklaunchicon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0D87E4C9-67E9-4AAD-96E6-D70B3F15F8A3}_is1
Inno Setup: Setup Version = 5.2.3
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0D87E4C9-67E9-4AAD-96E6-D70B3F15F8A3}_is1
Inno Setup: User = %nombre usuario%
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0D87E4C9-67E9-4AAD-96E6-D70B3F15F8A3}_is1
InstallDate = Data: 20100614
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0D87E4C9-67E9-4AAD-96E6-D70B3F15F8A3}_is1
InstallLocation = C:\Archivos de programa\rnsafe\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0D87E4C9-67E9-4AAD-96E6-D70B3F15F8A3}_is1
NoModify = 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0D87E4C9-67E9-4AAD-96E6-D70B3F15F8A3}_is1
NoRepair = 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0D87E4C9-67E9-4AAD-96E6-D70B3F15F8A3}_is1
Publisher = RnSafe Software Corporation
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0D87E4C9-67E9-4AAD-96E6-D70B3F15F8A3}_is1
QuietUninstallString = C:\Archivos de programa\rnsafe\unins000.exe /SILENT
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0D87E4C9-67E9-4AAD-96E6-D70B3F15F8A3}_is1
UninstallString = C:\Archivos de programa\rnsafe\unins000.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0D87E4C9-67E9-4AAD-96E6-D70B3F15F8A3}_is1
URLInfoAbout = http://www.rnfe.com/
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0D87E4C9-67E9-4AAD-96E6-D70B3F15F8A3}_is1
URLUpdateInfo = http://www.rnfe.com/

Método de Propagación

SpywareCleaner2010 puede llegar al ordenador cuando el usuario accede a ciertas páginas web, en las que se muestran banners o ventanas emergentes que llevan a la descarga de este programa. Y también puede llegar al ordenador en un enlace que puede ser recibido mediante mensajes de spam, páginas fraudulentas, etc.

Otros Detalles

SpywareCleaner2010 tiene un tamaño de 3739136 Bytes.

Panda Security. Nueva gama 2013. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos


Google+	Contacto	Facebook	Twitter	Youtube	RSS