| Nombre común: WinWebSecurity2008
Nombre técnico: Adware/WinWebSecurity2008
Peligrosidad: Media
Tipo: Adware
Efectos:
Alerta al usuario sobre amenazas inexistentes en su ordenador. Para poder eliminarlas, le intenta convencer para que adquiera cierto programa. Puede ser descargado desde la página web perteneciente a la empresa que lo ha desarrollado.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 28/11/2008
Detección actualizada: 02/12/2008
Estadísticas No
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Descripción Breve
WinWebSecurity2008 es un programa de tipo adware que intenta engañar al usuario alertándole de que su ordenador está afectado por amenazas inexistentes para que adquiera cierto programa que le elimine dichas amenazas.
WinWebSecurity2008 puede ser descargado voluntariamente desde la página web perteneciente a la empresa que lo ha desarrollado.
Efectos
WinWebSecurity2008 realiza las siguientes acciones:
Cuando es ejecutado, muestra un mensaje en el que parece que el programa se está actualizando:
Cuando finaliza la actualización, muestra el siguiente mensaje en el que se informa de que WinWebSecurity2008 se ha instalado correctamente:
Después, realiza un supuesto análisis del ordenador en busca de posible malware.
Cuando termina de analizar el ordenador, muestra unos resultados engañosos notificando al usuario que su ordenador está infectado:
Muestra los siguientes mensajes de alerta, en los que se notifica que el sistema está infectado:
Para eliminar estas amenazas, se solicita al usuario que active el programa a través del siguiente mensaje:
Si desea activarlo, se solicita al usuario que introduzca sus datos personales y que abone cierta cantidad de dinero:
Además, si el usuario no sigue las indicaciones del supuesto programa de seguridad, mostrará periódicamente los mensajes de alerta mencionados previamente para hacerle pensar que su ordenador está infectado.
Metodo de Infección
WinWebSecurity2008 crea las siguientes carpetas en la ruta C:\Documents and Settings\All Users\Datos de programa:
WinwebSecurity
WinwebSecurity\Languages
Además, crea los siguientes archivos:
WINWEBSECURITY.EXE, CONFIG.UDB e INIT.UDB, en la carpeta WinwebSecurity\Datos de Programa del directorio Documents and Settings de todos los usuarios.
5689887B.EXE y GDIPFONTCACHEV1.DAT, en la carpeta Datos de Programa del directorio Documents and Settings de todos los usuarios.
ENGLISH.LNG, en la carpeta Languages\WinwebSecurity\Datos de Programa del directorio Documents and Settings de todos los usuarios.
WinWebSecurity2008 crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
adpws = C:\Documents and Settings\All users\Datos de programa\5689887B.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
WinwebSecurity = C:\Documents and Settings\All users\Datos de programa\WinwebSecurity\WinwebSecurity.exe
Mediante estas entradas, WinWebSecurity2008 consigue ejecutarse cada vez que Windows se inicia.
HKEY_CLASSES_ROOT\ CLSID\ {D5DF7C9D-6069-4552-8B0C-D02A912FC889}
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Browser Helper Objects\ {D5DF7C9D-6069-4552-8B0C-D02A912FC889}
Mediante estas dos entradas, WinWebSecurity2008 se registra como BHO (Browser Helper Object) y consigue ejecutarse cada vez que se accede a Internet Explorer.
Por otra parte, WinWebSecurity2008 elimina la siguiente entrada del Registro de Windows:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Discardable\ PostSetup\ ShellNew
Al eliminar esta entrada, no se muestra cierta información del menú contextual, es decir, el menú que se despliega cuando se pulsa el botón derecho del ratón.
Método de Propagación
WinWebSecurity2008 puede ser descargado desde desde la página web perteneciente a la empresa que lo ha desarrollado.
Otros Detalles
WinWebSecurity2008 tiene un tamaño de 52259 Bytes.
|
|
