AntivirusDoktor2009

Herramienta de fraude que informa con falsedad de la presencia de código malicioso y solicita al usuario al compra de una licencia completa para eliminarlo.

Nombre completo: FraudTool.W32/AntivirusDoktor2009
Tipo: [FraudTool] - Programa que simula un comportamiento anormal del sistema y propone la compra de algún programa para solucionarlo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 y Vista
Alias:AntivirusDoktor2009 (Symantec)


Método de Infección/Efectos


Cuando la herramienta de fraude se ejecuta crea las siguientes carpetas en el equipo:

* %UserProfile%\Desktop\antivirusDoktor2009
* %AllUsersProfile%\AVP 2009

Nota: %UserProfile% es una variable que hace referencia al directorio del perfil del usuario actual.
Por defecto es C:\Documents and Settings\{- usuario_actual -} (Windows NT/2000/XP).

Nota: %AllUsersProfile% es una variable que hace referencia al directorio del perfil de All Users.
Por defecto es C:\Documents and Settings\All Users (Windows NT/2000/XP).

También crea los siguientes ficheros:

* %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus Doktor 2009.lnk
* %AllUsersProfile%\Desktop\Antivirus Doktor 2009.lnk
* %AllUsersProfile%\Start Menu\Programs\Antivirus Doktor 2009\Antivirus Doktor 2009 entfernen.lnk
* %AllUsersProfile%\Start Menu\Programs\Antivirus Doktor 2009\Antivirus Doktor 2009.lnk
* %ProgramFiles%\Antivirus Doktor 2009\Antivirus Doktor 2009.exe
* %ProgramFiles%\Antivirus Doktor 2009\Close.exe
* %ProgramFiles%\Antivirus Doktor 2009\definitions\1.dat
* %ProgramFiles%\Antivirus Doktor 2009\EngineAP.dll
* %ProgramFiles%\Antivirus Doktor 2009\ScheduleAP.txt
* %ProgramFiles%\Antivirus Doktor 2009\unins000.dat
* %ProgramFiles%\Antivirus Doktor 2009\unins000.exe

Nota: %ProgramFiles% es una variable que hace referencia al directorio de instalación por defecto de aplicaciones en sistemas Windows.
Por defecto es C:\Archivos de Programa\ (Windows98/Me/2000/XP). También puede ser C:\Program Files (Windows NT) y en instalaciones de Windows en inglés.

Además crea la siguiente clave del registro de Windows:

Código:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\Antivirus Doktor 2009_is1
Cuando el programa se ejecuta muestra reportes falsos que informan de la presencia de código malicioso:


Y le solicita al usuario que adquiera una licencia completa para eliminar los programas maliciosos:



Este programa no dispone de rutina de difusión propia, por lo que requiere de la participación de un usuario malicioso o de otro código malicioso para su propagación.

FUENTE: Alerta-Antivirus.es: Detalles del virus AntivirusDoktor2009