FakePowav.B

El FakePowav.B es un troyano que imita la herramienta de eliminación de software malintencionado de Microsoft, mostrando una serie de falsos mensajes de alarma y asegurando que su equipo está infectado por software malicioso, solicitando al usuario la compra de antivirus o diferentes softwares de seguridad.

Este troyano es una variante de la familia Win32/FakePowav que imita a la perfección la herramienta de eliminación de software malintencionado de la compañía Microsoft. Cuando el troyano se ejecuta, va mostrando falsos mensajes de alarma, mensajes de compras de software de seguridad y similares, en busca de que el atacado realice transacciones en sus páginas y hacerse con los códigos de la tarjeta de crédito. El troyano no puede difundirse por si mismo, sino que requiere la participación de que el usuario se lo descargue y se lo instale.

Microsoft Malicious Software Removal Tool is installed. Click this message to start scanning process or it will start automatically in 10 seconds.

FakePowaw.b. Primera muestra de ataque. Microsoft Malicious Software Removal Tool is installed. Click this message to start scanning process or it will start automatically in 10 seconds

FakePowaw.b. Primera muestra de ataque

Si se realiza el clic o si se agotan los 10 segundos que muestra la pantalla, el siguiente pop-up aparecerá, simulando que realiza operaciones de análisis en el ordenador atacado. Decimos simulando por que el análisis no se lleva a cabo en realidad.

Quick scan in progress. The tool is scanning your computer for prevalent malicious software.

FakePowaw.b Segundo pantallazo. Quick scan in progress. The tool is scanning your computer for prevalent malicious software.

FakePowaw.b Segundo pantallazo

El falso antisoftware malicioso FakePowav.B “encuentra” una serie de infecciones en el equipo atacado:

  • Kelogger.Stawin
  • Spyware.ActivityKey
  • W32.Rinbot.H
  • W32.Rinbot.H
FakePowaw.b Pantallazo3

FakePowaw.b Pantallazo3

Y te “incita” a adquirir un antivirus con el siguiente mensaje:

The tool can’t remove all malicious software shown in the scan results. Because malicious software is present on your computer, you should use an antivirus product to scan for and remove all malicious software.

Mostrando una ventana donde podrás “comprar” los softwares de antivirus mas famosos del mercado: Norton, McAfee,…

OEM Purchase Center. This service helps keep your computer more secure and up to date with latest software for Windows.

FakePowaw.b OEM Purchase Center. This service helps keep your computer more secure and up to date with latest software for Windows.

FakePowaw.b Pantallazo de compra

Puedes cerrar la ventana sin comprar, pero aparecerá una burbuja en la barra de tareas inferior donde aparece el siguiente texto:

Security warning. Your computer is infected with malicious software. You should use antivirus product to remove it. Click this message to purchase recommended antivirus software.

FakePowaw.b Burbuja remanente. Security warning. Your computer is infected with malicious software. You should use antivirus product to remove it. Click this message to purchase recommended antivirus software.

FakePowaw.b Burbuja remanente

Sin embargo, en caso de que el atacado sea incauto y se dirija a la compra del software de antivirus, la web que se abrirá será oem-micro-store.com

El troyano FakePowav.B se mostrará con la siguiente pantalla, donde imitará al Windows Security Center, y le mostrará como si el antivirus, la protección contra virus estuviera deshabilitada.

Troyano FakePowav.B Security Center.exe

Troyano FakePowav.B Security Center.exe

Como saber si se está infectado con el FakePowav.B. ¿Como saber si tienes el FakePowav.B?

En caso de que aparezcan en tu ordenador los siguientes ficheros:

  • Carpeta de Archivos de programas\MalwareRemoval\MalwareRemoval.exe
  • Carpeta de Archivos de programas\MalwareRemoval\Security Center.exe
  • X:\Windows\Profiles\{nombre de usuario}\Application Data\1\spl.ini
  • X:\Windows\Profiles\{nombre de usuario}\Application Data\MalwareRemoval\MalwareRemoval.ini

En caso de manejar otros Windows como el NT, la carpeta de Archivos de Programas podría ser C:\Program Files y en el caso de la carpeta de Application Data C:\WINNT\Profiles\{nombre de usuario}\Application Data

En caso de manejar windows 2000, XP o Server 2003, la carpeta de Aplication Data sería C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data

Como eliminar y quitar el FakePowav.B

Para eliminar el FakePowav.B intente restaurar el sistema a una fecha anterior a la infección, a un punto de restauración anterior, en caso de que sepa cuando fué infectado. Recuerde que esto también afectará a los programas y ficheros que usted haya podido modificar, crear o instalar a posteriori de la fecha de restauración.

En caso de que no funcione o no pueda restaurar el sistema, para quitar el FakePowav.B pruebe lo siguiente:

  1. Desactivar temporalmente la Restauración del Sistema.
  2. Reiniciar el ordenador a Modo a Prueba de Fallos.
  3. Con un antivirus actualizado, borre y ataque todos los archivos infectados.
  4. Elimine los archivos explicados en ¿Como saber si está infectado?
  5. En caso de no poder eliminar el virus por estar en ejecución, abra el Administrador de Tareas y detenga el nombre del Proceso que esté trabajando en ese momento activo por el virus y vuelva al paso numero 4.
  6. Edite el registro y elimine los parámetros explicados en ¿Como saber si está infectado?
  7. Eliminar archivos temporales
  8. Reiniciar el ordenador

Fuente: Microsoft(+)

Deje un comentario