Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
RedCrossAntivirus realiza las siguientes acciones:
- Cuando es ejecutado, se conecta al sitio web http://85.231.174/inst.php?id= y comienza la instalación del programa.
- Las siguientes imágenes corresponden al proceso de instalación:
- Comienzo de instalación:
- El acuerdo de licencia:
- Instalación finalizada:
- Una vez finalizada la instalación, muestra un mensaje de alerta para recordar a los usuarios que su ordenador no está protegido y que el programa antivirus es una versión de prueba:
- Si el usuario pulsa sobre el mensaje, el programa antivirus comienza a cargarse, como se puede ver en la siguiente pantalla:
- Una vez cargado, comienza a realizar un análisis del sistema en busca de posible malware:
- El resultado del análisis muestra que se han detectado archivos infectados en el ordenador.
- Si el usuario decide eliminarlos, será redirigido a la página de compra del falso programa antivirus:
Metodo de Infección
RedCrossAntivirus crea el archivo ANTISPY.EXE en la carpeta Application Data del directorio Documents and Settings del usuario que haya iniciado sesión.
RedCrossAntivirus crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = C:\Documents and Settings\Application Data\%nombreusuario%\antispy.exe
donde %nombreusuario% es el nombre de usuario que ha iniciado sesión. - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
tmp
Mediante estas entradas, RedCrossAntivirus consigue ejecutarse cada vez que Windows se inicia.
Método de Propagación
RedCrossAntivirus puede llegar al ordenador cuando el usuario accede a ciertas páginas web, en las que se muestran banners o ventanas emergentes que llevan a la descarga de este programa. Y también puede llegar al ordenador en un enlace que puede ser recibido mediante mensajes de spam, páginas fraudulentas, etc.
Otros Detalles
RedCrossAntivirus tiene un tamaño de 560640 Bytes.