Trojan.Fotomoto.F( Trojan.Win32.Obfuscated.kp, Trojan.EzulaAd )
SINTOMAS: Presencia de una clave llamada "DomainService" en "HKLM\Sytem\CurentControlSet\Services". Aparenta ser un proceso con los permisos servicio del sistema, con la descripción "DDC".DESCRIPCIÓN TÉCNICA: Trojan.Fotomoto.F es un troyano con componentes de adware. Una vez instalado, el malware realiza las siguientes acciones en el equipo:a) Se conecta a un servidor de Internet y envía información básica sobre el ordenador infectado. c) Modifica las siguientes claves del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable = 4Con este paso impide que la Protección de Archivos de Windows envíe notificaciones, reemplace los archivos del sistema o registre los eventos del sistema. c) Modifica las siguientes claves del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DomainServiceHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DomainService donde queda registrado como servicio del sistema. d) Crea un proceso que se ejecuta como un servicio, y a su vez, crea un evento para que en caso que el proceso se cierre, éste se reinicia a sí mismo cambiando su ID del proceso. INSTRUCCIONES DE LIMPIEZA: Analice sus archivos con BitDefender para desinfectarlos.ANALIZADO POR: Sorin Ciorceri, investigador de virus. |