Antiviractive.net

Antiviractive.net Descripción

El Antiviractive.net es un dominio malicioso que promueve el programa falso de seguridad llamado AV Security Suite. Una vez que AV Security Suite está dentro de un ordenador, el modifica la configuración del navegador de la víctima causando la víctima a ser redirigida a menudo al Antiviractive.net o Antiviractive.net/block.php. Antiviractive.net/block.php es una advertencia falsa de Internet que dicen que hay problemas de conexión que no se puede arreglar a menos que la víctima hace clic en los enlaces que aparecen y compra el rogueware que están promoviendo. No confíes en nada del Antiviractive.net.

Información Técnica

Detalles del Sistema de Archivos

Antiviractive.net tiene típicamente los siguientes procesos en la memoria:
# Nombre Recuento de Detección
1 %Documents and Settings%\[UserName]\Local Settings\Application Data\[random string]\[random string]tssd.exe N/A
2 %Documents and Settings%\[UserName]\Local Settings\Application Data\[random string]\[random string].exe N/A

Detalles del Registro

Antiviractive.net crea las siguientes entradas de registro:
Registry key
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "RunInvalidSignatures" ="1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations "LowRiskFileTypes" = ".exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "[random string]"
HKEY_LOCAL_MACHINE\Software\AvSuite
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyServer" = "http=127.0.0.1:5555"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "[random string]"
HKEY_CURRENT_USER\Software\AvSuite
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "ProxyOverride" = ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments "SaveZoneInformation" = "1"