El antivirus es imitado por el gusano Phoney.
El gusano Phoney.A se propaga principalmente a través de redes compartidas e intenta engañar a los usuarios mediante mensajes antivirus falsos.
El gusano Phoney.A copia sus propios archivos en un directorio compartido en cada red y también asegura que se inicie automáticamente cuando se montan. El gusano realiza numerosos cambios en el registro. Debilitan significativamente la protección de las computadoras y hacen que herramientas como el Editor del Registro o el Administrador de tareas sean inaccesibles.
El gusano Phoney.A muestra una ventana de Norton AntiVirus falsa pero muy engañosa y luego asegura que se puede cargar incluso si Windows se inicia en modo seguro. Otra característica molesta e inconveniente del malware es que reinicia la computadora infectada cada media hora.
Cuando se inicia el gusano Phoney.A, realiza las siguientes acciones:
1. Cree los siguientes archivos:
C: \ Documentos y configuración \ Todos los usuarios \ Menú Inicio \ Programas \ Inicio \ Empty.pif
% Windir% \ Autorun.inf
% System% \ web.exe
% Windir% \ winxp.exe
% CurrentFolder% \ [nombre de directorio] .exe
2. Cree los siguientes archivos en el directorio raíz de cada unidad montada:
AUTORUN.INF
Microsoft.exe
3. Agregue las siguientes entradas a la base de datos de registro:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Run "Bron" = "% Windir% \ winxp.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon “Rontok” = “Explorer.exe“% Windir% \ winxp.exe ””
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon "Userinit" = "% System% \ userinit.exe,% Windir% \ winxp.exe"
4. Agregue las siguientes entradas a la base de datos de registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer ”NoFolderOptions” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ System ”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Policies \ System ”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "Oculto" = "4"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”HideFileExt” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”ShowSuperHidden” = “0”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoClose” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoDesktop” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “Nofolderoptions” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Network “NoNetSetup” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableCMD” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableRegistryTools” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”NoDispCPL” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ WinOldApp ”Desactivar =“ 4 ”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ AeDebug ”Auto” = “” 1 ″ ”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore ”DisableConfig” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ SystemRestore ”DisableSR” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Installer ”DisableMSI” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Installer ”LimitSystemRestoreCheckpointing” = “1”
HKEY_CLASSES_ROOT \ batfile \ shell \ open \ command ”(Valor predeterminado)” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ comfile \ shell \ open \ command ”(Valor predeterminado)” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ exefile ”(valor predeterminado)” = “Carpeta de archivos” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ lnkfile \ shell \ open \ command ”(Valor predeterminado)” = “”% System% \ web.exe ”“% 1 ″% * ”
HKEY_CLASSES_ROOT \ piffile \ shell \ open \ command ”(Valor predeterminado)” = “”% System% \ web.exe ”“% 1 ″% * ”
5. Modifique el registro para que se cargue cuando inicie Windows en modo seguro, de la siguiente manera:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Sa feBoot ”AlternateShell” = “% System% \ web.exe”
6. Reinicie la computadora cada media hora.
7. Muestra un cuadro de mensaje falso de Norton AntiVirus.
8. Cierre las ventanas que contengan palabras específicas en su barra de título.