SAVEDEFENSE, otro fake alert que pulula por Internet desde primeros de mes
Recientemente controlado por el VirusScan de McAfee, desde DAT 5727, presentamos la imagen de este otro Fake Alert por si se presenta inesperadamente, como todos…:
CLAVES QUE MODIFICA:
HKEY_CURRENT_USER\Software\SaveDefense
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SaveDefense
HKEY_LOCAL_MACHINE\SOFTWARE\SaveDefense
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SAVEDEFENSESVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SaveDefenseSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SAVEDEFENSESVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SaveDefenseSvc
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “SaveDefense”
ESPECIALMENTE EL EN LOG SE DESTACAN;
O4 – HKCU\..\Run: [SaveDefense] C:\Program Files\SaveDefense Software\SaveDefense\SaveDefense.exe -min
O23 – Service: SaveDefense Security Service (SaveDefenseSvc) – Unknown owner – C:\Program Files\SaveDefense Software\SaveDefense\SaveDefenseSvc.exe
PRINCIPALES FICHEROS QUE UTILIZA:
SaveDefense.exe Uninstall.exe SaveDefenseSvc.exe data.bin license.txt WiniFighter.lnk
CARPETAS RELACIONADAS CON DICHO TROYANO
\Program Files\SaveDefense Software
\Program Files\SaveDefense Software\SaveDefense
\Documents and Settings\All Users\Start Menu\Programs\SaveDefense
Caso de que se perciba su presencia, enviarnos los ficheros
SaveDefense.exe
Uninstall.exe
SaveDefenseSvc.exe
que son los principales ejecutables del mismo
Tras ello implementaremos su control y eliminacion en el ELISTARA, como vamos haciendo con todos los FakeAlert que vamos recibiendo.
saludos
ms, 15-9-2009
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.