Active Scan. Analiza Gratis tu PC
Panda Global Protection

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

SysinternalsAntivirus

PeligrosidadPeligrosidad bajaDañoDañinoPropagaciónPoco extendido

Efectos 

SysinternalsAntivirus es un programa de tipo adware que intenta engañar a los usuarios utilizando un nombre conocido para autodenominarse como es el de Sysinternals, cuyo actual propietario es Microsoft.

Una vez instalado, impide al usuario trabajar con el ordenador con normalidad, ya que no permite la ejecución de los archivos que tengan extensión EXE. De hecho, cuando se ejecuta alguno de estos archivos, se muestra un mensaje como el siguiente informando al usuario que dicho archivo está infectado:

Mensaje mostrado por SysinternalsAntivirus

 

Además, realiza las siguientes acciones que son comunes a este tipo de falsos programas antivirus:

  • Llega al ordenador en un archivo con el siguiente icono:

    Icono de SysinternalsAntivirus
  • Cuando es ejecutado e instalado, se abre la interfaz del programa y comienza a realizar un análisis en busca de posible malware:

    Interfaz de SysinternalsAntivirus
  • Una vez finalizado, muestra un mensaje de alerta informando al usuario que se han encontrado programas y documentos infectados en su ordenador:

    Mensaje de alerta mostrado por SysinternalsAntivirus
  • Si el usuario decide reparar estos archivos, el programa le solicitará que registre la licencia del falso antivirus para después redirigirle a la página web desde la que se puede adquirir el producto:

    Solicitud de activación de SysinternalsAntivirus
  • Si por el contrario decide no seguir las instrucciones del programa, comenzarán a mostrarse una serie de diferentes mensajes molestos con el objetivo de hacer creer al usuario que su ordenador está realmente infectado.
  • Algunos de los mensajes que aparecen en pantalla son como los siguientes:

    - Mensajes de alerta de infección:

    Mensajes de alerta mostrados por SysinternalsAntivirus

    - También muestra un mensaje que simula ser del Centro de Seguridad de Windows para alertar a los usuarios de que no se ha encontrado ninguna protección antivirus en el ordenador.

Metodo de Infección 

SysinternalsAntivirus crea un directorio llamado Sysinternals Antivirus en el directorio de Archivos de Programa y un grupo de programas en el menú Inicio con el mismo nombre.

SysinternalsAntivirus crea los siguientes archivos:

  • SYSINTERNALS ANTIVIRUS.EXE, que es una copia de sí mismo, en la carpeta Sysinternals Antivirus del directorio Archivos de programa.
  • ALGGUI.EXESVCHOST.EXEWPP.EXEADC_W32.DLLWP3.DATWP4.DATNUAR.OLD y SKYNET.DAT, en el directorio Archivos de programa.
  • SYSINTERNALS ANTIVIRUS.LNK, en el Escritorio. Este archivo es un acceso directo al programa:

    Acceso directo a Sysinternals Antivirus

 

SysinternalsAntivirus crea las siguientes entradas en el Registro de Windows:

  • HKEY_CURRENT_USER\Software\Sysinternals Antivirus
  • HKEY_CLASSES_ROOT\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}
    Mediante esta entrada, SysinternalsAntivirus consigue registrarse como BHO (Browser Helper Object) y así poder monitorizar las páginas web a las que accede el usuario.
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd

 

SysinternalsAntivirus modifica la siguiente entrada del Registro de Windows, para que cada vez que se ejecute un archivo con extensión EXE, se ejecute el archivo del falso antivirus y no el archivo correspondiente:

  • HKEY_CLASSES_ROOT\exefile\shell\open\command
    (Default) = "%1" %*

    Cambia esta entrada por:
    HKEY_CLASSES_ROOT\exefile\shell\open\command
    (Default) = C:\Program Files\alggui.exe "%1" %*

Método de Propagación 

SysinternalsAntivirus puede llegar al ordenador cuando el usuario accede a ciertas páginas web, en las que se muestran banners o ventanas emergentes que llevan a la descarga de este programa. Y también puede llegar al ordenador en un enlace que puede ser recibido mediante mensajes de spam, páginas fraudulentas, etc.

Otros Detalles  

SysinternalsAntivirus tiene un tamaño de 13849600 Bytes.