Active Scan. Analiza Gratis tu PC
Panda Global Protection 2011

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

AVSecuritySuite

PeligrosidadPeligrosidad bajaDañoDañinoPropagaciónPoco extendido

Efectos 

AVSecuritySuite es un programa de tipo adware que intenta engañar a los usuarios haciéndose pasar por un verdadero programa antivirus.

Una vez instalado, impide al usuario trabajar con el ordenador con normalidad, ya que no permite la ejecución de los archivos que tengan extensión EXE. De hecho, cuando se ejecuta alguno de estos archivos, se muestra un mensaje informando al usuario que dicho archivo está infectado.

 

Además, realiza las siguientes acciones que son comunes a este tipo de falsos programas antivirus:

  • Llega al ordenador en un archivo con el siguiente icono:

    Icono con el que llega AVSecuritySuite
  • Cuando es ejecutado y ha transcurrido cierto tiempo, aparece un mensaje emergente como el siguiente que parece una alerta de seguridad de Windows:

    Mensaje que simula ser una alerta de seguridad de Windows
  • Después, se abre la interfaz del programa y comienza a realizar un análisis en busca de posible malware:

    Análisis realizado por AVSecuritySuite
  • Durante el análisis, se muestra un escaneo de los archivos del ordenador del usuario, pero el malware que va detectando es ficticio.
  • Cuando ha finalizado, muestra un mensaje de alerta informando al usuario que su ordenador está infectado:

    Mensaje de alerta mostrado por AVSecuritySuite
  • Si el usuario decide desinfectar su ordenador con este programa, se mostrará un mensaje informándole que se trata de una versión de prueba y que para eliminar estas amenazas tiene que comprar la versión completa:

    Mensaje de versión de prueba
  • Después, será redirigido a la página web desde la que se puede adquirir el producto:

    Página de compra del falso antivirus
  • Si por el contrario decide no seguir las instrucciones del programa, comenzarán a mostrarse una serie de diferentes mensajes molestos con el objetivo de hacer creer al usuario que su ordenador está realmente infectado.
  • Por ejemplo, como el siguiente:

    Mensaje de alerta mostrado por AVSecuritySuite

Metodo de Infección 

AVSecuritySuite crea un directorio aleatorio en Configuración local\Datos de programa del directorio Documents and Settings del usuario que ha iniciado sesión.

AVSecuritySuite crea un archivo aleatorio con extensión EXE en el directorio aleatorio creado por el programa.

 

AVSecuritySuite crea las siguientes entradas en el Registro de Windows:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    %aleatorio% = C:\Documents and Settings\%usuario%\Configuración local\Datos de programa\%carpeta aleatoria%\%archivo aleatorio%.exe
    Mediante esta entrada, AVSecuritySuite consigue ejecutarse cada vez que Windows se inicia.
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download
    RunInvalidSignatures = 1
    Permite la ejecución de archivos con firmas inválidas.
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
    LowRiskFileTypes = .exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
    SaveZoneInformation = 1
    Mediante estas entradas, AVSecuritySuite marca los archivos con extensión EXE como de riesgo bajo.
  • HKEY_CURRENT_USER\Software\AVSuitE

 

AVSecuritySuite modifica las siguientes entradas del Registro de Windows para realizar cambios en las directivas de seguridad de Internet:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
    DefaultConnectionSettings
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
    SavedLegacySettings
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter
    Enabled = 1     ó 2
    Cambia esta entrada por:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter
    Enabled = 0
    Deshabilita el filtro de suplantación de identidad (phishing) de Internet Explorer 7.
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter
    EnabledV8 = 1     ó 2
    Cambia esta entrada por:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter
    EnabledV8 = 0
    Deshabilita el filtro de suplantación de identidad (phishing) de Internet Explorer 8.

Método de Propagación 

AVSecuritySuite puede llegar al ordenador cuando el usuario accede a ciertas páginas web, en las que se muestran banners o ventanas emergentes que llevan a la descarga de este programa. Y también puede llegar al ordenador en un enlace que puede ser recibido mediante mensajes de spam, páginas fraudulentas, etc.

Otros Detalles  

AVSecuritySuite tiene un tamaño de 282368 Bytes.