SAVEDEFENSE, otro fake alert que pulula por Internet desde primeros de mes

 
Recientemente controlado por el VirusScan de McAfee, desde DAT 5727, presentamos la imagen de este otro Fake Alert por si se presenta inesperadamente, como todos…:

 CLAVES QUE MODIFICA:

HKEY_CURRENT_USER\Software\SaveDefense
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SaveDefense
HKEY_LOCAL_MACHINE\SOFTWARE\SaveDefense
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SAVEDEFENSESVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SaveDefenseSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SAVEDEFENSESVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SaveDefenseSvc
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “SaveDefense”

ESPECIALMENTE EL EN LOG SE DESTACAN;

O4 – HKCU\..\Run: [SaveDefense] C:\Program Files\SaveDefense Software\SaveDefense\SaveDefense.exe -min
O23 – Service: SaveDefense Security Service (SaveDefenseSvc) – Unknown owner – C:\Program Files\SaveDefense Software\SaveDefense\SaveDefenseSvc.exe

PRINCIPALES FICHEROS QUE UTILIZA:

SaveDefense.exe Uninstall.exe SaveDefenseSvc.exe data.bin license.txt WiniFighter.lnk

CARPETAS RELACIONADAS CON DICHO TROYANO

\Program Files\SaveDefense Software
\Program Files\SaveDefense Software\SaveDefense
\Documents and Settings\All Users\Start Menu\Programs\SaveDefense

Fuente

 
Caso de que se perciba su presencia, enviarnos los ficheros

SaveDefense.exe

Uninstall.exe

SaveDefenseSvc.exe

que son los principales ejecutables del mismo

Tras ello implementaremos su control y eliminacion en el ELISTARA, como vamos haciendo con todos los FakeAlert que vamos recibiendo.

saludos

ms, 15-9-2009