| Nombre común: SystemSecurity
Nombre técnico: Adware/SystemSecurity
Peligrosidad: Media
Tipo: Adware
Efectos:
Alerta al usuario sobre amenazas inexistentes en su ordenador. Para poder eliminarlas, le intenta convencer para que adquiera cierto programa. Puede ser descargado desde la página web perteneciente a la empresa que lo ha desarrollado.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 22/12/2008
Detección actualizada: 29/12/2008
Estadísticas No
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Descripción Breve
SystemSecurity es un programa de tipo adware que intenta engañar al usuario alertándole de que su ordenador está afectado por amenazas inexistentes para que adquiera cierto programa que le elimine dichas amenazas.
SystemSecurity puede ser descargado voluntariamente desde la página web perteneciente a la empresa que lo ha desarrollado.
Efectos
SystemSecurity realiza las siguientes acciones:
Cuando es ejecutado, muestra un mensaje en el que parece que el programa se está actualizando:
Cuando finaliza la actualización, muestra el siguiente mensaje en el que se informa de que SystemSecurity se ha instalado correctamente:
Crea un acceso directo en el Escritorio:
Después, realiza un supuesto análisis del ordenador en busca de posible malware.
Cuando termina de analizar el ordenador, muestra unos resultados engañosos notificando al usuario que su ordenador está infectado:
Muestra los siguientes mensajes de alerta, en los que se notifica que el sistema está infectado:
Para eliminar estas amenazas, se solicita al usuario que adquiera cierta solución de seguridad. Para ello, es redirigido a una página en la que se solicitan sus datos personales y que abone cierta cantidad de dinero:
Además, si el usuario no sigue las indicaciones del supuesto programa de seguridad, mostrará periódicamente los mensajes de alerta mencionados previamente para hacerle pensar que su ordenador está infectado.
Metodo de Infección
SystemSecurity crea una carpeta formada por números aleatorios en la ruta C:\Documents and Settings\All Users\Datos de programa.
En dicha carpeta crea los siguientes archivos:
%números aleatorios%.EXE.
CONFIG.UDB e INIT.UDB, que corresponden a archivos de configuración del adware.
y una carpeta denominada Languages, en la que crea los siguientes archivos según la versión del adware:
ENGLISH.LNG
GERMAN.LNG
SPANISH.LNG
SystemSecurity crea la siguiente entrada en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
%números aleatorios% = C:\Documents and Settings\All users\Datos de programa\%números aleatorios%\%números aleatorios%.exe
Mediante esta entrada, SystemSecurity consigue ejecutarse cada vez que Windows se inicia.
Método de Propagación
SystemSecurity puede ser descargado desde desde la página web perteneciente a la empresa que lo ha desarrollado.
Otros Detalles
SystemSecurity tiene un tamaño de 62500 Bytes y está comprimido mediante UPX.
|
|
