Troj/Fakeale.AG

FAKEALE.AG troyano simula enviar video de Paris Hilton falsa salvapantalla fondo escritorio descarga malware.

Troj/Fakeale.AG

Fakeale.AG es un troyano reportado el 16 de Agosto del 2008, propagado en mensajes de correo MultiSPAM supuestamente conteniendo un video de Paris Hilton desnuda.

También es descargado desde este enlace propagado entre la libreta de contactos de diversos servicios de Mensajería Instantánea.

http://[bloqueado].18/video-paris-hilton.avi.exe

Infecta a Windows 98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Assembler con una extensión de 144,896 bytes.

Descarga malware, crea falso mensaje de infección de virus, falsa salva-pantallas y fondo de escritorio de Windows.

Una vez ingresado a un sistema se copia a la carpeta %System% con el nombre de lphc39nj0er9n.exe y libera los siguientes archivos:

%System%\blphc39nj0er9n.scr (pantalla azul)
%System%\phc39nj0er9n.bmp (fondo del escritorio)
%System%\blphctu4j0etu4.scr (slva-pantalla)

Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"blphc39nj0er9n" = "%System%\blphc39nj0er9n.exe"

Para cambiar el salva pantallas de Windows y fondo de Escritorio modifica las siguientes entradas de registro:

[HKEY_CURRENT_USER\Control Panel\Colors]
Background = "0 0 255"

[HKEY_CURRENT_USER\Control Panel\Desktop]
ScreenSaveActive = "1"
[HKEY_CURRENT_USER\Control Panel\Desktop]
TileWallpaper = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
DisableSR = "0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr]
Start = "0"

El troyano configura el archivo phc39nj0er9n.bmp para crear un falso fondo de escritorio modificando las siguientes entradas:

[HKEY_CURRENT_USER\Control Panel\Desktop]
ConvertedWallpaper = "%System%\phc39nj0er9n.bmp"
OriginalWallpaper = "%System%\phc39nj0er9n.bmp"
SCRNSAVE.EXE = "%System%\blphc39nj0er9n.scr"
TileWallpaper = "0"
Wallpaper = "%system%\phc39nj0er9n.bmp"

Como consecuencia, muestra el siguiente fondo de escritorio:

Luego configura el archivo blphctu4j0etu4.scr como salva-pantalla mostrando la siguiente imagen:

Aleatoriamente puede mostrar una pantalla azul con un extenso mensaje de advertencia.

Modifica también las entradas de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
NoDispBackgroundPage = "1"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
NoDispScrSavPage = "1"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]
GeneralFlags = "0"

Finalmente, el troyano se conecta a una ruta web para descargar un malware troyano:

http://[bloqueado].net/download/16/AntivirusXP2008Installer.exe

PER ANTIVIRUS® versión X6 con registro de virus al 16 de Agosto del 2008 detecta y elimina este troyano.