Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Una falsa actualización de Microsoft, descarga un troyano que simula una infección. Lo irónico, es que la misma dice ser una actualización para la "Herramienta de eliminación de software malintencionado" de Windows.
Se han reportado varios sitios o páginas (MySpace y otros), infectados con un script, que hace que cada vez que el usuario haga clic en determinados lugares de la página, se descargue un archivo llamado KB89O831.exe (note que entre el 9 y el 8, existe una letra "O" y no un número cero).
Cuando se ejecuta, el archivo muestra en pantalla una ventana con el título "Automatic Updates", que simula ser una actualización de Microsoft para la herramienta de eliminación de malware: "Windows Malicious Software Removal Tool - May 2008 (KB890830)"
Mientras ello sucede, los siguientes archivos son creados en la carpeta del sistema del equipo del usuario:
wmsdkns.exe (91,563 bytes)
winfrun32.bin (4 bytes)
Al mismo tiempo, se desactiva en la políticas del sistema (modificando el registro de Windows), el Administrador de tareas, y una clave es agregada en la entrada "Winlogon" del registro para que se ejecute WMSDKNS.EXE en cada reinicio del sistema.
A partir de allí, se presentarán al usuario falsas advertencias de infecciones, instándolo a que descargue un falso antivirus "el único capaz de desinfectarlas".
KB89O831.exe es detectado por ESET NOD32 como Win32/TrojanDownloader.FakeAlert.CV
Comentarios